Plataforma
php
Componente
score
Corrigido em
1.45
1.45
1.45
1.43
CVE-2026-39936 represents a Cross-Site Scripting (XSS) vulnerability discovered within the Mediawiki - Score Extension. This flaw allows attackers to inject malicious scripts into web pages viewed by other users, potentially leading to session hijacking or defacement. The vulnerability impacts Mediawiki - Score Extension versions 1.43 through 1.45. A fix has been implemented in the master branch and released for versions 1.43, 1.44, and 1.45.
A vulnerabilidade CVE-2026-39936 na extensão 'Score' do MediaWiki, da Fundação Wikimedia, representa um risco de Cross-Site Scripting (XSS). Isso significa que um atacante pode injetar código malicioso em páginas da web geradas pelo MediaWiki, que será executado nos navegadores dos usuários que visitarem essas páginas. O impacto potencial inclui roubo de cookies de sessão, redirecionamento para sites maliciosos, alteração do conteúdo da página da web e execução de ações em nome do usuário afetado. A severidade deste XSS depende da sensibilidade das informações que os usuários acessam e compartilham no MediaWiki. A vulnerabilidade afeta versões específicas, sendo crucial aplicar as atualizações necessárias.
A vulnerabilidade se origina em uma sanitização inadequada da entrada do usuário durante a geração de páginas da web. Um atacante pode aproveitar esta falha para injetar código JavaScript malicioso nos parâmetros de entrada que não são limpos corretamente. Este código será executado no contexto do usuário que visualiza a página, permitindo que o atacante execute ações não autorizadas. O sucesso da exploração depende da capacidade do atacante de controlar a entrada que é usada para gerar a página da web e da ausência de medidas de segurança adequadas para prevenir a injeção de código malicioso. A extensão 'Score' é particularmente vulnerável devido ao seu tratamento de dados fornecidos pelo usuário.
Status do Exploit
EPSS
0.06% (percentil 19%)
CISA SSVC
A Fundação Wikimedia corrigiu esta vulnerabilidade na ramificação 'master' e nas versões de lançamento do MediaWiki 1.43, 1.44 e 1.45. Recomenda-se fortemente que os administradores do MediaWiki atualizem suas instalações para uma dessas versões corrigidas o mais rápido possível. Para minimizar o risco antes da atualização, medidas de segurança adicionais podem ser implementadas, como a validação estrita da entrada do usuário e a aplicação de políticas de segurança de conteúdo (CSP). Monitorar os registros do servidor em busca de atividades suspeitas também pode ajudar a detectar e responder a possíveis ataques. A atualização é a solução mais eficaz e recomendada.
Actualice la extensión Score a la versión 1.45 o superior. Esta versión corrige la vulnerabilidad de XSS al neutralizar correctamente la entrada durante la generación de la página web. Asegúrese de realizar una copia de seguridad de su instalación de MediaWiki antes de aplicar la actualización.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
XSS (Cross-Site Scripting) é um tipo de vulnerabilidade de segurança que permite que atacantes injetem scripts maliciosos em páginas da web visualizadas por outros usuários.
Um atacante pode roubar informações confidenciais, redirecionar os usuários para sites maliciosos ou alterar o conteúdo da página.
As versões 1.43, 1.44 e 1.45 são vulneráveis. A ramificação 'master' já está corrigida.
Implemente medidas de segurança adicionais, como a validação de entrada e CSP, e monitore os registros do servidor.
Consulte a documentação oficial do MediaWiki e as notas de lançamento da atualização.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.