平台
php
组件
campaignevents
修复版本
1.44
1.45
1.46
1.43
CVE-2026-39935 是一个在 Mediawiki CampaignEvents Extension 中发现的跨站脚本攻击 (XSS) 漏洞。该漏洞允许攻击者通过恶意脚本注入来控制受影响的网站,可能导致用户会话劫持、敏感信息泄露等安全问题。该漏洞影响 Mediawiki CampaignEvents Extension 的 0.0.0 到 1.45 版本。该问题已在 master 分支和 1.46 版本中得到修复。
CVE-2026-39935 影响 Mediawiki 的 CampaignEvents 扩展,由于在 Web 页面生成过程中输入未充分进行清理,可能导致跨站脚本攻击 (XSS)。攻击者可以注入恶意代码,在用户的浏览器中执行,从而可能破坏会话,窃取敏感信息(如 Cookie),或将用户重定向到恶意网站。影响重大,尤其是在拥有大量用户的 Mediawiki 站点中,CampaignEvents 扩展可能被用于攻击广泛的用户群体。此漏洞仅在 'master' 分支中得到修复,这意味着未更新到此分支的安装程序容易受到攻击。应用更新对于降低风险至关重要。
CampaignEvents 扩展中的 XSS 漏洞可以通过注入恶意 JavaScript 代码到未正确清理的输入字段来利用。攻击者可以利用此漏洞在受害者的浏览器上下文中执行任意代码。利用成功的关键在于攻击者是否能够控制 Web 页面上显示的输入。这可以通过操纵 URL 参数、向表单注入代码或利用 Mediawiki 站点上的其他漏洞来实现。由于修复程序仅在 'master' 分支中可用,因此旧版本的安装程序尤其容易受到攻击。
Mediawiki installations utilizing the CampaignEvents Extension, particularly those running vulnerable versions (0.0.0–1.45), are at risk. Shared hosting environments where multiple Mediawiki instances share the same server are especially vulnerable, as a compromise of one instance could potentially impact others. Organizations relying on Mediawiki for internal communication or collaboration should prioritize patching.
• php / web:
grep -r 'CampaignEvents Extension' /var/www/mediawiki/extensions/• php / web: Check for modified files in the CampaignEvents Extension directory that are not part of the official release. • php / web: Review Mediawiki access logs for suspicious requests containing potentially malicious JavaScript code. • php / web: Monitor for unusual user activity, such as unexpected redirects or changes to user profiles.
disclosure
漏洞利用状态
EPSS
0.06% (19% 百分位)
CISA SSVC
针对 CVE-2026-39935 的主要缓解措施是将 CampaignEvents 扩展更新到 1.46 或更高版本。此版本包含必要的修复程序,以清理输入并防止 XSS 攻击。如果无法立即更新,请考虑实施其他安全措施,例如在 Web 页面上显示之前验证和清理所有用户输入。此外,审查并加强 Mediawiki 站点的安全策略,包括实施内容安全策略 (CSP),以限制浏览器可以加载的内容来源。监控服务器日志以查找可疑活动也有助于检测和响应潜在攻击。
Actualice la extensión CampaignEvents a la versión 1.46 o superior para mitigar la vulnerabilidad XSS. Asegúrese de realizar una copia de seguridad de su wiki antes de actualizar. Esta corrección solo está disponible en la rama 'master'.
漏洞分析和关键警报直接发送到您的邮箱。
XSS (跨站脚本) 是一种安全漏洞,允许攻击者将恶意脚本注入到其他用户查看的 Web 页面中。
如果您正在使用 CampaignEvents 扩展并且没有更新到 1.46 或更高版本,则您的站点容易受到攻击。
'master' 分支是 CampaignEvents 扩展的主要开发分支。最新的更新将发布在此分支上。
CSP 是一种额外的安全层,允许网站管理员控制浏览器可以加载的内容来源,从而降低 XSS 攻击的风险。
您可以在漏洞数据库(如国家漏洞数据库 (NVD))中找到有关 CVE-2026-39935 的更多信息。