Plateforme
php
Composant
score
Corrigé dans
1.45
1.45
1.45
1.43
La vulnérabilité CVE-2026-39936 est une faille de Cross-Site Scripting (XSS) affectant l'extension Score de Mediawiki. Cette faille permet à un attaquant d'injecter des scripts malveillants dans des pages web, potentiellement compromettant la sécurité des utilisateurs. Les versions concernées sont Mediawiki - Score Extension 1.43, 1.44 et 1.45. Une correction a été implémentée dans la branche master et dans les versions 1.45.
La vulnérabilité CVE-2026-39936 dans l'extension 'Score' de MediaWiki, de la Fondation Wikimedia, représente un risque de Cross-Site Scripting (XSS). Cela signifie qu'un attaquant peut injecter du code malveillant dans les pages web générées par MediaWiki, qui s'exécutera dans les navigateurs des utilisateurs visitant ces pages. L'impact potentiel comprend le vol de cookies de session, la redirection vers des sites web malveillants, la modification du contenu de la page web et l'exécution d'actions en nom de l'utilisateur concerné. La gravité de ce XSS dépend de la sensibilité des informations que les utilisateurs accèdent et partagent dans MediaWiki. La vulnérabilité affecte des versions spécifiques, ce qui rend les mises à jour rapides essentielles.
La vulnérabilité découle d'une désactivation incorrecte des entrées utilisateur lors de la génération de pages web. Un attaquant peut exploiter cette faille pour injecter du code JavaScript malveillant dans les paramètres d'entrée qui ne sont pas correctement nettoyés. Ce code s'exécutera dans le contexte de l'utilisateur qui visualise la page, permettant à l'attaquant d'effectuer des actions non autorisées. Le succès de l'exploitation dépend de la capacité de l'attaquant à contrôler les entrées utilisées pour générer la page web et de l'absence de mesures de sécurité adéquates pour empêcher l'injection de code malveillant. L'extension 'Score' est particulièrement vulnérable en raison de sa gestion des données fournies par l'utilisateur.
Statut de l'Exploit
EPSS
0.06% (percentile 19%)
CISA SSVC
La Fondation Wikimedia a corrigé cette vulnérabilité dans la branche 'master' et dans les versions de publication de MediaWiki 1.43, 1.44 et 1.45. Il est fortement recommandé aux administrateurs de MediaWiki de mettre à jour leurs installations vers l'une de ces versions corrigées dès que possible. Pour minimiser le risque avant la mise à jour, des mesures de sécurité supplémentaires peuvent être mises en œuvre, telles que la validation stricte des entrées utilisateur et la mise en œuvre d'une politique de sécurité du contenu (CSP). La surveillance des journaux du serveur à la recherche d'activités suspectes peut également aider à détecter et à répondre aux attaques potentielles. La mise à jour est la solution la plus efficace et recommandée.
Actualice la extensión Score a la versión 1.45 o superior. Esta versión corrige la vulnerabilidad de XSS al neutralizar correctamente la entrada durante la generación de la página web. Asegúrese de realizar una copia de seguridad de su instalación de MediaWiki antes de aplicar la actualización.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Le XSS (Cross-Site Scripting) est un type de vulnérabilité de sécurité qui permet aux attaquants d'injecter des scripts malveillants dans des pages web consultées par d'autres utilisateurs.
Un attaquant peut voler des informations sensibles, rediriger les utilisateurs vers des sites web malveillants ou modifier le contenu de la page.
Les versions 1.43, 1.44 et 1.45 sont vulnérables. La branche 'master' est déjà corrigée.
Mettez en œuvre des mesures de sécurité supplémentaires telles que la validation des entrées et CSP, et surveillez les journaux du serveur.
Consultez la documentation officielle de MediaWiki et les notes de publication de la mise à jour.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.