Plataforma
php
Componente
campaignevents
Corrigido em
1.44
1.45
1.46
1.43
CVE-2026-39935 describes a Cross-Site Scripting (XSS) vulnerability within the CampaignEvents Extension for Mediawiki. This flaw allows attackers to inject malicious scripts into web pages, potentially compromising user accounts and sensitive data. The vulnerability impacts versions 0.0.0 through 1.45 of the extension, and a fix is available in version 1.46.
A vulnerabilidade CVE-2026-39935 afeta a extensão CampaignEvents do Mediawiki, permitindo um ataque de Cross-Site Scripting (XSS) devido à falta de neutralização adequada da entrada durante a geração de páginas web. Um atacante pode injetar código malicioso que é executado no navegador de um usuário, comprometendo potencialmente sua sessão, roubando informações sensíveis (como cookies) ou redirecionando-o para sites maliciosos. O impacto é significativo, especialmente para sites Mediawiki com uma grande base de usuários, pois a extensão CampaignEvents pode ser usada para atacar um público amplo. A vulnerabilidade foi corrigida apenas na ramificação 'master', o que significa que instalações que não foram atualizadas para esta ramificação são vulneráveis. Aplicar a atualização é crucial para mitigar o risco.
A vulnerabilidade XSS na extensão CampaignEvents do Mediawiki pode ser explorada injetando código JavaScript malicioso por meio de campos de entrada que não são devidamente higienizados. Um atacante pode usar isso para executar código arbitrário no contexto do navegador da vítima. O sucesso da exploração depende da capacidade do atacante de controlar a entrada exibida na página web. Isso pode ser alcançado por meio da manipulação de parâmetros de URL, injeção de código em formulários ou exploração de outras vulnerabilidades no site Mediawiki. Dado que a correção está disponível apenas na ramificação 'master', as instalações em versões mais antigas são particularmente vulneráveis.
Mediawiki installations utilizing the CampaignEvents Extension, particularly those running vulnerable versions (0.0.0–1.45), are at risk. Shared hosting environments where multiple Mediawiki instances share the same server are especially vulnerable, as a compromise of one instance could potentially impact others. Organizations relying on Mediawiki for internal communication or collaboration should prioritize patching.
• php / web:
grep -r 'CampaignEvents Extension' /var/www/mediawiki/extensions/• php / web: Check for modified files in the CampaignEvents Extension directory that are not part of the official release. • php / web: Review Mediawiki access logs for suspicious requests containing potentially malicious JavaScript code. • php / web: Monitor for unusual user activity, such as unexpected redirects or changes to user profiles.
disclosure
Status do Exploit
EPSS
0.06% (percentil 19%)
CISA SSVC
A principal mitigação para CVE-2026-39935 é atualizar a extensão CampaignEvents para a versão 1.46 ou superior. Esta versão inclui a correção necessária para neutralizar a entrada e prevenir o ataque XSS. Se a atualização não for possível imediatamente, considere implementar medidas de segurança adicionais, como validar e higienizar toda a entrada do usuário antes de exibi-la na página web. Além disso, revise e fortaleça as políticas de segurança do seu site Mediawiki, incluindo a implementação de uma Política de Segurança de Conteúdo (CSP) para restringir as fontes de conteúdo que podem ser carregadas pelo navegador. Monitorar os logs do servidor em busca de atividades suspeitas também pode ajudar a detectar e responder a possíveis ataques.
Actualice la extensión CampaignEvents a la versión 1.46 o superior para mitigar la vulnerabilidad XSS. Asegúrese de realizar una copia de seguridad de su wiki antes de actualizar. Esta corrección solo está disponible en la rama 'master'.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
XSS (Cross-Site Scripting) é um tipo de vulnerabilidade de segurança que permite que atacantes injetem scripts maliciosos em páginas web visualizadas por outros usuários.
Se você estiver usando a extensão CampaignEvents e não tiver atualizado para a versão 1.46 ou superior, seu site é vulnerável.
A ramificação 'master' é a ramificação principal de desenvolvimento da extensão CampaignEvents. As atualizações mais recentes são publicadas nesta ramificação.
Uma CSP é uma camada adicional de segurança que permite que os administradores do site web controlem as fontes de conteúdo que o navegador pode carregar, reduzindo o risco de ataques XSS.
Você pode encontrar mais informações sobre CVE-2026-39935 em bancos de dados de vulnerabilidades, como o National Vulnerability Database (NVD).
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.