Platform
php
Component
score
Opgelost in
1.45
1.45
1.45
1.43
CVE-2026-39936 represents a Cross-Site Scripting (XSS) vulnerability discovered within the Mediawiki - Score Extension. This flaw allows attackers to inject malicious scripts into web pages viewed by other users, potentially leading to session hijacking or defacement. The vulnerability impacts Mediawiki - Score Extension versions 1.43 through 1.45. A fix has been implemented in the master branch and released for versions 1.43, 1.44, and 1.45.
CVE-2026-39936 in de 'Score'-extensie van MediaWiki van de Wikimedia Foundation vormt een Cross-Site Scripting (XSS)-kwetsbaarheid. Dit stelt een aanvaller in staat om kwaadaardige code in webpagina's te injecteren die door MediaWiki worden gegenereerd, en deze code uit te voeren in de browsers van gebruikers die deze pagina's bezoeken. De potentiële impact omvat het stelen van sessiecookies, doorverwijzing naar kwaadaardige websites, het wijzigen van inhoud en het uitvoeren van acties namens de getroffen gebruiker. De ernst van deze XSS hangt af van de gevoeligheid van de informatie waartoe gebruikers toegang hebben en die ze delen in MediaWiki. De kwetsbaarheid treft specifieke versies, waardoor tijdige updates cruciaal zijn.
De kwetsbaarheid ontstaat door een onjuiste neutralisatie van invoer tijdens het genereren van webpagina's. Een aanvaller kan deze fout uitbuiten om kwaadaardige JavaScript-code in invoerparameters te injecteren die niet correct worden schoongemaakt. Deze code wordt uitgevoerd in de context van de gebruiker die de pagina bekijkt, waardoor de aanvaller ongeautoriseerde acties kan uitvoeren. Het succes van de exploitatie hangt af van het vermogen van de aanvaller om de invoer te controleren die wordt gebruikt om de pagina te genereren en het ontbreken van adequate beveiligingsmaatregelen om het injecteren van kwaadaardige code te voorkomen. De 'Score'-extensie is bijzonder kwetsbaar vanwege de manier waarop het gebruikersgegevens verwerkt.
Exploit Status
EPSS
0.06% (19% percentiel)
CISA SSVC
De Wikimedia Foundation heeft deze kwetsbaarheid verholpen in de 'master'-branch en in de release-branches voor MediaWiki-versies 1.43, 1.44 en 1.45. MediaWiki-beheerders worden ten zeerste aangeraden hun installaties zo snel mogelijk te updaten naar een van deze gepatchte versies. Om het risico voor de update te minimaliseren, kunnen aanvullende beveiligingsmaatregelen worden geïmplementeerd, zoals de strenge validatie van gebruikersinvoer en de implementatie van een Content Security Policy (CSP). Het monitoren van serverlogboeken op verdachte activiteiten kan ook helpen bij het detecteren en reageren op potentiële aanvallen. Updaten is de meest effectieve en aanbevolen oplossing.
Actualice la extensión Score a la versión 1.45 o superior. Esta versión corrige la vulnerabilidad de XSS al neutralizar correctamente la entrada durante la generación de la página web. Asegúrese de realizar una copia de seguridad de su instalación de MediaWiki antes de aplicar la actualización.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
XSS (Cross-Site Scripting) is een beveiligingslek dat aanvallers in staat stelt kwaadaardige scripts in webpagina's te injecteren die door andere gebruikers worden bekeken.
Een aanvaller kan gevoelige informatie stelen, gebruikers doorverwijzen naar kwaadaardige websites of de inhoud van de pagina wijzigen.
Versies 1.43, 1.44 en 1.45 zijn kwetsbaar. De 'master'-branch is al gepatcht.
Implementeer aanvullende beveiligingsmaatregelen zoals invoervalidatie en CSP, en monitor serverlogboeken.
Raadpleeg de officiële MediaWiki-documentatie en de release notes van de update.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.