प्लेटफ़ॉर्म
php
घटक
campaignevents
में ठीक किया गया
1.44
1.45
1.46
1.43
CVE-2026-39935 describes a Cross-Site Scripting (XSS) vulnerability within the CampaignEvents Extension for Mediawiki. This flaw allows attackers to inject malicious scripts into web pages, potentially compromising user accounts and sensitive data. The vulnerability impacts versions 0.0.0 through 1.45 of the extension, and a fix is available in version 1.46.
CVE-2026-39935 Mediawiki के CampaignEvents एक्सटेंशन को प्रभावित करता है, वेब पेज जनरेशन के दौरान इनपुट को ठीक से निष्क्रिय न करने के कारण क्रॉस-साइट स्क्रिप्टिंग (XSS) हमले को सक्षम करता है। एक हमलावर उपयोगकर्ता के ब्राउज़र में निष्पादित होने वाले दुर्भावनापूर्ण कोड को इंजेक्ट कर सकता है, जिससे संभावित रूप से उनका सत्र समझौता हो सकता है, संवेदनशील जानकारी (जैसे कुकीज़) चोरी हो सकती है, या उन्हें दुर्भावनापूर्ण वेबसाइटों पर पुनर्निर्देशित किया जा सकता है। प्रभाव महत्वपूर्ण है, खासकर उन Mediawiki साइटों के लिए जिनके पास बड़ी संख्या में उपयोगकर्ता हैं, क्योंकि CampaignEvents एक्सटेंशन का उपयोग व्यापक दर्शकों को लक्षित करने के लिए किया जा सकता है। इस भेद्यता को केवल 'मास्टर' शाखा में ठीक किया गया है, जिसका अर्थ है कि इस शाखा में अपडेट नहीं किए गए इंस्टॉलेशन भेद्य हैं। जोखिम को कम करने के लिए अपडेट लागू करना महत्वपूर्ण है।
Mediawiki के CampaignEvents एक्सटेंशन में XSS भेद्यता का शोषण दुर्भावनापूर्ण JavaScript कोड को उन इनपुट फ़ील्ड के माध्यम से इंजेक्ट करके किया जा सकता है जिन्हें ठीक से सैनिटाइज नहीं किया गया है। एक हमलावर इसका उपयोग पीड़ित के ब्राउज़र के संदर्भ में मनमाना कोड निष्पादित करने के लिए कर सकता है। शोषण की सफलता इस बात पर निर्भर करती है कि हमलावर वेब पेज पर प्रदर्शित इनपुट को नियंत्रित करने में सक्षम है या नहीं। यह URL पैरामीटर के हेरफेर, फॉर्म में कोड इंजेक्शन, या Mediawiki साइट पर अन्य कमजोरियों का शोषण करके प्राप्त किया जा सकता है। चूंकि फिक्स केवल 'मास्टर' शाखा पर उपलब्ध है, इसलिए पुराने संस्करणों पर स्थापित किए गए इंस्टॉलेशन विशेष रूप से कमजोर हैं।
Mediawiki installations utilizing the CampaignEvents Extension, particularly those running vulnerable versions (0.0.0–1.45), are at risk. Shared hosting environments where multiple Mediawiki instances share the same server are especially vulnerable, as a compromise of one instance could potentially impact others. Organizations relying on Mediawiki for internal communication or collaboration should prioritize patching.
• php / web:
grep -r 'CampaignEvents Extension' /var/www/mediawiki/extensions/• php / web: Check for modified files in the CampaignEvents Extension directory that are not part of the official release. • php / web: Review Mediawiki access logs for suspicious requests containing potentially malicious JavaScript code. • php / web: Monitor for unusual user activity, such as unexpected redirects or changes to user profiles.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.06% (19% शतमक)
CISA SSVC
CVE-2026-39935 के लिए प्राथमिक शमन CampaignEvents एक्सटेंशन को संस्करण 1.46 या उच्चतर में अपडेट करना है। इस संस्करण में इनपुट को निष्क्रिय करने और XSS हमले को रोकने के लिए आवश्यक फिक्स शामिल है। यदि तुरंत अपडेट करना संभव नहीं है, तो अतिरिक्त सुरक्षा उपायों को लागू करने पर विचार करें, जैसे कि वेब पेज पर प्रदर्शित करने से पहले सभी उपयोगकर्ता इनपुट को मान्य और सैनिटाइज करना। इसके अलावा, अपने Mediawiki साइट की सुरक्षा नीतियों की समीक्षा और मजबूत करें, जिसमें ब्राउज़र द्वारा लोड किए जा सकने वाले सामग्री स्रोतों को प्रतिबंधित करने के लिए सामग्री सुरक्षा नीति (CSP) को लागू करना शामिल है। संदिग्ध गतिविधि के लिए सर्वर लॉग की निगरानी संभावित हमलों का पता लगाने और उनका जवाब देने में भी मदद कर सकती है।
Actualice la extensión CampaignEvents a la versión 1.46 o superior para mitigar la vulnerabilidad XSS. Asegúrese de realizar una copia de seguridad de su wiki antes de actualizar. Esta corrección solo está disponible en la rama 'master'.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
XSS (क्रॉस-साइट स्क्रिप्टिंग) एक प्रकार की सुरक्षा भेद्यता है जो हमलावरों को अन्य उपयोगकर्ताओं द्वारा देखे जाने वाले वेब पेजों में दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है।
यदि आप CampaignEvents एक्सटेंशन का उपयोग कर रहे हैं और संस्करण 1.46 या उच्चतर में अपडेट नहीं किया है, तो आपकी साइट भेद्य है।
'मास्टर' शाखा CampaignEvents एक्सटेंशन की मुख्य विकास शाखा है। इस शाखा पर नवीनतम अपडेट प्रकाशित किए जाते हैं।
CSP एक अतिरिक्त सुरक्षा परत है जो वेबसाइट प्रशासकों को ब्राउज़र द्वारा लोड किए जा सकने वाले सामग्री स्रोतों को नियंत्रित करने की अनुमति देती है, जिससे XSS हमलों का जोखिम कम होता है।
आप राष्ट्रीय भेद्यता डेटाबेस (NVD) जैसे भेद्यता डेटाबेस में इस भेद्यता के बारे में अधिक जानकारी पा सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।