MEDIUMCVE-2026-39936

Scoreにおける保存型XSS (Stored XSS) - 予約されていないデータ属性の使用による

プラットフォーム

php

コンポーネント

score

修正版

1.45

1.43

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年4月

NVDで見る

保存

あなたの言語に翻訳中…

CVE-2026-39936 represents a Cross-Site Scripting (XSS) vulnerability discovered within the Mediawiki - Score Extension. This flaw allows attackers to inject malicious scripts into web pages viewed by other users, potentially leading to session hijacking or defacement. The vulnerability impacts Mediawiki - Score Extension versions 1.43 through 1.45. A fix has been implemented in the master branch and released for versions 1.43, 1.44, and 1.45.

影響と攻撃シナリオ

CVE-2026-39936 は、Wikimedia Foundation の MediaWiki の 'Score' 拡張機能におけるクロスサイトスクリプティング (XSS) の脆弱性です。これにより、攻撃者は MediaWiki によって生成された Web ページに悪意のあるコードを注入し、それらのページを閲覧するユーザーのブラウザでそのコードを実行できます。潜在的な影響には、セッションクッキーの窃盗、悪意のある Web サイトへのリダイレクト、コンテンツの改ざん、および影響を受けたユーザーの名においてアクションを実行することが含まれます。この XSS の深刻度は、ユーザーが MediaWiki 内でアクセスおよび共有する情報の機密性に依存します。この脆弱性は特定のバージョンに影響を与えるため、タイムリーなアップデートが不可欠です。

悪用の状況

この脆弱性は、Web ページ生成中の入力の不適切な無効化が原因で発生します。攻撃者はこの欠点を悪用して、適切にサニタイズされていない入力パラメータに悪意のある JavaScript コードを注入できます。このコードは、ページを閲覧するユーザーのコンテキストで実行され、攻撃者が不正なアクションを実行できるようになります。エクスプロイトの成功は、ページを生成するために使用される入力を攻撃者が制御できるかどうかに依存し、悪意のあるコードの注入を防ぐための適切なセキュリティ対策がない場合に依存します。'Score' 拡張機能は、ユーザーが提供するデータの処理方法により、特に脆弱です。

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

EPSS

0.06% (19% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能yes

技術的影響partial

影響を受けるソフトウェア

コンポーネントscore

ベンダーThe Wikimedia Foundation

影響範囲修正版

1.43 – 1.431.45

1.44 – 1.441.45

1.45 – 1.451.45

0 – 1.421.43

弱点分類 (CWE)

CWE-79

タイムライン

予約済み2026-04-07
公開日2026-04-07
更新日2026-04-08
EPSS 更新日2026-04-15

緩和策と回避策

Wikimedia Foundation は、'master' ブランチと MediaWiki のバージョン 1.43、1.44、および 1.45 のリリースブランチでこの脆弱性を修正しました。MediaWiki 管理者は、できるだけ早くこれらのパッチが適用されたバージョンへのアップデートを強く推奨します。アップデートする前にリスクを軽減するために、ユーザー入力の厳格な検証やコンテンツセキュリティポリシー (CSP) の実装など、追加のセキュリティ対策を実装できます。サーバーログを監視して疑わしいアクティビティを検出および対応することも役立ちます。アップデートが最も効果的で推奨される解決策です。

修正方法翻訳中…

Actualice la extensión Score a la versión 1.45 o superior.  Esta versión corrige la vulnerabilidad de XSS al neutralizar correctamente la entrada durante la generación de la página web.  Asegúrese de realizar una copia de seguridad de su instalación de MediaWiki antes de aplicar la actualización.