CVE-2026-39936 是 Mediawiki - Score Extension 中的一个跨站脚本攻击 (XSS) 漏洞。该漏洞允许攻击者在网页生成过程中注入恶意脚本,可能导致用户会话劫持或恶意内容展示。此漏洞影响 Mediawiki - Score Extension 的 1.43、1.44 和 1.45 版本。该问题已在 master 分支中修复,并已发布到 MediaWiki 1.43、1.44 和 1.45 的发布分支。
CVE-2026-39936 涉及 Wikimedia Foundation 的 MediaWiki 'Score' 扩展中的跨站脚本 (XSS) 漏洞。这使得攻击者可以将恶意代码注入到 MediaWiki 生成的网页中,并在访问这些网页的用户浏览器中执行该代码。潜在影响包括窃取会话 cookie、重定向到恶意网站、修改内容以及代表受影响的用户执行操作。此 XSS 的严重程度取决于用户在 MediaWiki 中访问和共享信息的敏感性。此漏洞影响特定版本,因此及时更新至关重要。
此漏洞源于 Web 页面生成过程中输入未正确中和。攻击者可以利用此漏洞将恶意 JavaScript 代码注入到未正确清理的输入参数中。此代码将在查看页面的用户的上下文中执行,从而使攻击者能够执行未经授权的操作。利用成功的关键在于攻击者控制用于生成页面的输入的能力,以及缺乏防止恶意代码注入的适当安全措施。由于其处理用户提供的数据的特殊方式,'Score' 扩展程序特别容易受到攻击。
漏洞利用状态
EPSS
0.06% (19% 百分位)
CISA SSVC
Wikimedia Foundation 已在 'master' 分支以及 MediaWiki 版本 1.43、1.44 和 1.45 的发布分支中修复了此漏洞。强烈建议 MediaWiki 管理员尽快将他们的安装更新到这些已修补的版本之一。为了在更新之前降低风险,可以实施额外的安全措施,例如严格的用户输入验证和内容安全策略 (CSP) 的实施。监控服务器日志以查找可疑活动也可以帮助检测和响应潜在攻击。更新是最有效和推荐的解决方案。
Actualice la extensión Score a la versión 1.45 o superior. Esta versión corrige la vulnerabilidad de XSS al neutralizar correctamente la entrada durante la generación de la página web. Asegúrese de realizar una copia de seguridad de su instalación de MediaWiki antes de aplicar la actualización.
漏洞分析和关键警报直接发送到您的邮箱。
XSS (跨站脚本) 是一种安全漏洞,允许攻击者将恶意脚本注入到其他用户查看的网页中。
攻击者可能会窃取敏感信息、将用户重定向到恶意网站或修改页面内容。
版本 1.43、1.44 和 1.45 容易受到攻击。'master' 分支已经过修补。
实施额外的安全措施,例如输入验证和 CSP,并监控服务器日志。
请参阅官方 MediaWiki 文档和更新发布说明。