Growth Experiments ReassignMenteesJob が無限ループを実行する

CVE-2026-39934 は、MediaWiki の GrowthExperiments 拡張機能において、無限ループが発生する問題が発見されました。これにより、TOCTOU (Time-of-Check and Time-of-Use) レースコンディションが発生する可能性があります。攻撃者は、条件がチェックされる時点と、その結果が使用される時点の間でシステムの状態を操作し、予期しない動作や悪意のあるコードの実行につながる可能性があります。この問題の深刻度は、拡張機能の特定の構成と攻撃者の権限に依存します。修正は master ブランチで実装されましたが、GrowthExperiments 拡張機能の古いバージョンは依然として脆弱です。古いバージョンのパッチがないため、リスクを軽減するために、迅速なアップデートが必要です。

1. 予約済み2026-04-07
2. 公開日2026-04-07
3. 更新日2026-04-08
4. EPSS 更新日2026-04-15

CVE-2026-39934 の主な軽減策は、GrowthExperiments 拡張機能を最新バージョン (1.43 以降) にアップデートすることです。このバージョンには、無限ループと TOCTOU レースコンディションに対する修正が含まれています。アップデートがすぐにできない場合は、システムを注意深く監視して、疑わしい活動がないか確認することをお勧めします。さらに、アクセス制御ポリシーを見直し、強化して、ユーザーの権限を制限し、成功した悪用による潜在的な影響を軽減することを検討してください。アップデート後の徹底的なテストは、システムの安定性と修正の適切な実装を確保するために不可欠です。