Platform
php
Component
campaignevents
Opgelost in
1.44
1.45
1.46
1.43
CVE-2026-39935 describes a Cross-Site Scripting (XSS) vulnerability within the CampaignEvents Extension for Mediawiki. This flaw allows attackers to inject malicious scripts into web pages, potentially compromising user accounts and sensitive data. The vulnerability impacts versions 0.0.0 through 1.45 of the extension, and a fix is available in version 1.46.
CVE-2026-39935 treft de CampaignEvents-extensie voor Mediawiki en maakt een Cross-Site Scripting (XSS)-aanval mogelijk door onvoldoende neutralisatie van invoer tijdens het genereren van webpagina's. Een aanvaller kan kwaadaardige code injecteren die in de browser van een gebruiker wordt uitgevoerd, waardoor mogelijk hun sessie wordt gecompromitteerd, gevoelige informatie (zoals cookies) wordt gestolen of ze naar kwaadaardige websites worden omgeleid. De impact is aanzienlijk, vooral voor Mediawiki-sites met een grote gebruikersbasis, aangezien de CampaignEvents-extensie gebruikt zou kunnen worden om een breed publiek aan te vallen. De kwetsbaarheid is alleen verholpen in de 'master'-branch, wat betekent dat installaties die niet naar deze branch zijn bijgewerkt, kwetsbaar zijn. Het toepassen van de update is cruciaal om het risico te beperken.
De XSS-kwetsbaarheid in de CampaignEvents-extensie voor Mediawiki kan worden misbruikt door kwaadaardige JavaScript-code te injecteren via invoervelden die niet correct worden opgeschoond. Een aanvaller kan dit gebruiken om willekeurige code in de context van de browser van het slachtoffer uit te voeren. Het succes van de exploitatie hangt af van het vermogen van de aanvaller om de invoer te controleren die op de webpagina wordt weergegeven. Dit kan worden bereikt door URL-parameters te manipuleren, code in formulieren te injecteren of andere kwetsbaarheden op de Mediawiki-site te exploiteren. Aangezien de fix alleen beschikbaar is in de 'master'-branch, zijn installaties op oudere versies bijzonder kwetsbaar.
Mediawiki installations utilizing the CampaignEvents Extension, particularly those running vulnerable versions (0.0.0–1.45), are at risk. Shared hosting environments where multiple Mediawiki instances share the same server are especially vulnerable, as a compromise of one instance could potentially impact others. Organizations relying on Mediawiki for internal communication or collaboration should prioritize patching.
• php / web:
grep -r 'CampaignEvents Extension' /var/www/mediawiki/extensions/• php / web: Check for modified files in the CampaignEvents Extension directory that are not part of the official release. • php / web: Review Mediawiki access logs for suspicious requests containing potentially malicious JavaScript code. • php / web: Monitor for unusual user activity, such as unexpected redirects or changes to user profiles.
disclosure
Exploit Status
EPSS
0.06% (19% percentiel)
CISA SSVC
De belangrijkste mitigatie voor CVE-2026-39935 is het bijwerken van de CampaignEvents-extensie naar versie 1.46 of hoger. Deze versie bevat de noodzakelijke fix om invoer te neutraliseren en de XSS-aanval te voorkomen. Als een update niet onmiddellijk mogelijk is, overweeg dan om aanvullende beveiligingsmaatregelen te implementeren, zoals het valideren en opschonen van alle gebruikersinvoer voordat deze op de webpagina wordt weergegeven. Controleer en versterk bovendien het beveiligingsbeleid van uw Mediawiki-site, inclusief het implementeren van een Content Security Policy (CSP) om de bronnen van inhoud te beperken die door de browser kunnen worden geladen. Het monitoren van serverlogs op verdachte activiteiten kan ook helpen bij het detecteren en reageren op potentiële aanvallen.
Actualice la extensión CampaignEvents a la versión 1.46 o superior para mitigar la vulnerabilidad XSS. Asegúrese de realizar una copia de seguridad de su wiki antes de actualizar. Esta corrección solo está disponible en la rama 'master'.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
XSS (Cross-Site Scripting) is een type beveiligingskwetsbaarheid waarmee aanvallers kwaadaardige scripts in webpagina's kunnen injecteren die door andere gebruikers worden bekeken.
Als u de CampaignEvents-extensie gebruikt en niet naar versie 1.46 of hoger bent bijgewerkt, is uw site kwetsbaar.
De 'master'-branch is de hoofd ontwikkelingsbranch van de CampaignEvents-extensie. De nieuwste updates worden op deze branch gepubliceerd.
Een CSP is een extra beveiligingslaag waarmee websitebeheerders de bronnen van inhoud kunnen controleren die de browser kan laden, waardoor het risico op XSS-aanvallen wordt verminderd.
U kunt meer informatie over CVE-2026-39935 vinden in kwetsbaarheidsdatabases zoals de National Vulnerability Database (NVD).
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.