平台
php
组件
growthexperiments
修复版本
1.43
1.44.1
1.43.1
1.43
CVE-2026-39934描述了MediaWiki GrowthExperiments扩展中的一个无限循环漏洞,该漏洞允许攻击者利用时间检查与时间使用(TOCTOU)竞争条件。这种漏洞可能导致系统资源耗尽,进而影响服务可用性。该漏洞影响MediaWiki GrowthExperiments扩展的版本0.0.0到1.45。该问题已在1.43版本中得到修复。
CVE-2026-39934 在 MediaWiki 的 GrowthExperiments 扩展程序中存在一个问题,即存在无限循环,这可能导致 TOCTOU(时间检查与使用时间)竞争条件。这可能允许攻击者在检查条件和使用结果之间操纵系统状态,从而导致意外行为或恶意代码执行。此问题的严重程度取决于扩展程序的特定配置和攻击者的权限。虽然该修复程序已在 master 分支中实施,但 GrowthExperiments 扩展程序的旧版本仍然存在漏洞。旧版本中缺少补丁,需要立即更新以降低风险。
利用此漏洞需要对 GrowthExperiments 扩展程序的内部工作原理有深入的了解以及创建竞争条件的能力。攻击者可能尝试在检查条件和使用结果之间操纵数据或系统状态,从而利用 TOCTOU 竞争条件。利用的复杂性取决于特定的 MediaWiki 和 GrowthExperiments 扩展程序配置。master 分支中的修复程序表明开发人员已经识别并解决了此问题,但旧版本仍然存在风险。
漏洞利用状态
EPSS
0.06% (17% 百分位)
CISA SSVC
针对 CVE-2026-39934 的主要缓解措施是将 GrowthExperiments 扩展程序更新到最新可用版本(1.43 或更高版本)。此版本包含无限循环和 TOCTOU 竞争条件的修复程序。如果无法立即更新,建议密切监控系统是否存在任何可疑活动。此外,请考虑审查和加强访问控制策略,以限制用户权限,从而降低成功利用的潜在影响。更新后的彻底测试对于确保系统稳定性和修复程序的正确实施至关重要。
Actualice la extensión GrowthExperiments a la versión 1.43 o superior para mitigar la vulnerabilidad de bucle infinito. Esta actualización corrige una condición de carrera TOCTOU que puede causar un consumo excesivo de recursos. Verifique la documentación de MediaWiki para obtener instrucciones específicas de actualización.
漏洞分析和关键警报直接发送到您的邮箱。
TOCTOU(时间检查与使用时间)是一种竞争条件漏洞,其中系统状态在检查条件和使用该检查结果之间发生变化。
它可能允许攻击者操纵系统状态,从而导致意外行为或恶意代码执行。
密切监控系统是否存在任何可疑活动,并审查访问控制策略。
修复程序在 master 分支和版本 1.43 中可用。旧版本仍然存在漏洞。
您可以在诸如国家漏洞数据库(NVD)之类的漏洞数据库或 Wikimedia Foundation 网站上找到更多信息。