Plateforme
php
Composant
campaignevents
Corrigé dans
1.44
1.45
1.46
1.43
La vulnérabilité CVE-2026-39935 est une faille de Cross-Site Scripting (XSS) affectant l'extension CampaignEvents de Mediawiki. Cette faille permet à un attaquant d'injecter des scripts malveillants dans les pages web, potentiellement compromettant la sécurité des utilisateurs. Elle concerne les versions de l'extension CampaignEvents comprises entre 0.0.0 et 1.45. Une correction a été implémentée dans la branche master et disponible dans la version 1.46.
La vulnérabilité CVE-2026-39935 affecte l'extension CampaignEvents de Mediawiki, permettant une attaque de Cross-Site Scripting (XSS) en raison d'une neutralisation inadéquate des entrées lors de la génération de pages web. Un attaquant pourrait injecter du code malveillant qui s'exécute dans le navigateur d'un utilisateur, compromettant potentiellement sa session, volant des informations sensibles (comme les cookies) ou le redirigeant vers des sites web malveillants. L'impact est significatif, en particulier pour les sites Mediawiki ayant une large base d'utilisateurs, car l'extension CampaignEvents pourrait être utilisée pour attaquer un large public. La vulnérabilité n'a été corrigée que sur la branche 'master', ce qui signifie que les installations qui n'ont pas été mises à jour vers cette branche sont vulnérables. L'application de la mise à jour est cruciale pour atténuer le risque.
La vulnérabilité XSS dans l'extension CampaignEvents de Mediawiki peut être exploitée en injectant du code JavaScript malveillant via des champs d'entrée qui ne sont pas correctement désinfectés. Un attaquant pourrait utiliser cela pour exécuter du code arbitraire dans le contexte du navigateur de la victime. Le succès de l'exploitation dépend de la capacité de l'attaquant à contrôler l'entrée affichée sur la page web. Cela pourrait être réalisé par la manipulation des paramètres d'URL, l'injection de code dans les formulaires ou l'exploitation d'autres vulnérabilités sur le site Mediawiki. Étant donné que la correction n'est disponible que sur la branche 'master', les installations sur les versions antérieures sont particulièrement vulnérables.
Mediawiki installations utilizing the CampaignEvents Extension, particularly those running vulnerable versions (0.0.0–1.45), are at risk. Shared hosting environments where multiple Mediawiki instances share the same server are especially vulnerable, as a compromise of one instance could potentially impact others. Organizations relying on Mediawiki for internal communication or collaboration should prioritize patching.
• php / web:
grep -r 'CampaignEvents Extension' /var/www/mediawiki/extensions/• php / web: Check for modified files in the CampaignEvents Extension directory that are not part of the official release. • php / web: Review Mediawiki access logs for suspicious requests containing potentially malicious JavaScript code. • php / web: Monitor for unusual user activity, such as unexpected redirects or changes to user profiles.
disclosure
Statut de l'Exploit
EPSS
0.06% (percentile 19%)
CISA SSVC
L'atténuation principale pour CVE-2026-39935 consiste à mettre à jour l'extension CampaignEvents à la version 1.46 ou supérieure. Cette version inclut la correction nécessaire pour neutraliser les entrées et prévenir l'attaque XSS. Si la mise à jour n'est pas immédiatement possible, envisagez de mettre en œuvre des mesures de sécurité supplémentaires, telles que la validation et la désinfection de toutes les entrées utilisateur avant de les afficher sur la page web. De plus, examinez et renforcez les politiques de sécurité de votre site Mediawiki, y compris la mise en œuvre d'une Politique de Sécurité du Contenu (CSP) pour restreindre les sources de contenu pouvant être chargées par le navigateur. La surveillance des journaux du serveur à la recherche d'activités suspectes peut également aider à détecter et à répondre aux attaques potentielles.
Actualice la extensión CampaignEvents a la versión 1.46 o superior para mitigar la vulnerabilidad XSS. Asegúrese de realizar una copia de seguridad de su wiki antes de actualizar. Esta corrección solo está disponible en la rama 'master'.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
XSS (Cross-Site Scripting) est un type de vulnérabilité de sécurité qui permet aux attaquants d'injecter des scripts malveillants dans des pages web consultées par d'autres utilisateurs.
Si vous utilisez l'extension CampaignEvents et que vous n'avez pas mis à jour vers la version 1.46 ou supérieure, votre site est vulnérable.
La branche 'master' est la branche de développement principale de l'extension CampaignEvents. Les dernières mises à jour sont publiées sur cette branche.
Une CSP est une couche de sécurité supplémentaire qui permet aux administrateurs de site web de contrôler les sources de contenu que le navigateur peut charger, réduisant ainsi le risque d'attaques XSS.
Vous pouvez trouver plus d'informations sur CVE-2026-39935 dans les bases de données de vulnérabilités telles que le National Vulnerability Database (NVD).
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.