1.43
CVE-2026-39935 describes a Cross-Site Scripting (XSS) vulnerability within the CampaignEvents Extension for Mediawiki. This flaw allows attackers to inject malicious scripts into web pages, potentially compromising user accounts and sensitive data. The vulnerability impacts versions 0.0.0 through 1.45 of the extension, and a fix is available in version 1.46.
CVE-2026-39935 は、Mediawiki の CampaignEvents 拡張機能に影響を与え、Web ページ生成中の入力の不適切な無効化により、クロスサイトスクリプティング (XSS) 攻撃を可能にします。攻撃者は、ユーザーのブラウザで実行される悪意のあるコードを注入し、セッションを侵害したり、機密情報 (Cookie など) を盗んだり、悪意のある Web サイトにリダイレクトしたりする可能性があります。影響は大きく、特に大規模なユーザーベースを持つ Mediawiki サイトの場合、CampaignEvents 拡張機能は広範なユーザーを攻撃するために悪用される可能性があります。この脆弱性は 'master' ブランチでのみ修正されているため、このブランチに更新されていないインストールは脆弱です。リスクを軽減するために、更新を適用することが重要です。
Mediawiki の CampaignEvents 拡張機能の XSS 脆弱性は、適切にサニタイズされていない入力フィールドを介して悪意のある JavaScript コードを注入することで悪用できます。攻撃者は、これを利用して、被害者のブラウザのコンテキストで任意のコードを実行する可能性があります。エクスプロイトの成功は、攻撃者が Web ページに表示される入力を制御できるかどうかに依存します。これは、URL パラメータの操作、フォームへのコードの注入、または Mediawiki サイトの他の脆弱性の悪用によって実現できる可能性があります。修正が 'master' ブランチでのみ利用可能なため、古いバージョンのインストールは特に脆弱です。
Mediawiki installations utilizing the CampaignEvents Extension, particularly those running vulnerable versions (0.0.0–1.45), are at risk. Shared hosting environments where multiple Mediawiki instances share the same server are especially vulnerable, as a compromise of one instance could potentially impact others. Organizations relying on Mediawiki for internal communication or collaboration should prioritize patching.
• php / web:
grep -r 'CampaignEvents Extension' /var/www/mediawiki/extensions/• php / web: Check for modified files in the CampaignEvents Extension directory that are not part of the official release. • php / web: Review Mediawiki access logs for suspicious requests containing potentially malicious JavaScript code. • php / web: Monitor for unusual user activity, such as unexpected redirects or changes to user profiles.
disclosure
エクスプロイト状況
EPSS
0.06% (19% パーセンタイル)
CISA SSVC
CVE-2026-39935 の主な軽減策は、CampaignEvents 拡張機能をバージョン 1.46 以降に更新することです。このバージョンには、入力の無効化と XSS 攻撃の防止に必要な修正が含まれています。更新がすぐに不可能な場合は、追加のセキュリティ対策を実装することを検討してください。たとえば、Web ページに表示する前に、すべてのユーザー入力を検証およびサニタイズします。さらに、Mediawiki サイトのセキュリティポリシーを見直し、強化し、Content Security Policy (CSP) を実装して、ブラウザがロードできるコンテンツのソースを制限します。サーバーログを監視して疑わしいアクティビティを検出することも、潜在的な攻撃に対応するのに役立ちます。
Actualice la extensión CampaignEvents a la versión 1.46 o superior para mitigar la vulnerabilidad XSS. Asegúrese de realizar una copia de seguridad de su wiki antes de actualizar. Esta corrección solo está disponible en la rama 'master'.
脆弱性分析と重要アラートをメールでお届けします。
XSS (クロスサイトスクリプティング) は、攻撃者が他のユーザーが閲覧する Web ページに悪意のあるスクリプトを注入できるセキュリティ脆弱性の種類です。
CampaignEvents 拡張機能を使い、バージョン 1.46 以降に更新していない場合は、サイトが脆弱です。
'master' ブランチは、CampaignEvents 拡張機能のメイン開発ブランチです。最新の更新は、このブランチに公開されます。
CSP は、Web サイト管理者がブラウザがロードできるコンテンツのソースを制御できる追加のセキュリティレイヤーです。これにより、XSS 攻撃のリスクが軽減されます。
National Vulnerability Database (NVD) などの脆弱性データベースで、CVE-2026-39935 についてさらに詳しい情報を入手できます。