CVE-2026-58028
NieznaneCVSS 0.0Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 31 — wyżej niż 31% wszystkich znanych CVE
Streszczenie
Podatność XSS w MediaWiki i CentralAuth pozwala atakującemu na wstrzyknięcie złośliwego skryptu do strony generowanej przez API. Problem dotyczy kilku plików, w tym ApiFormatBase.php i ApiHelp.php.
Ocena ryzyka
Atakujący może wykraść sesje użytkowników, przekierować ich na złośliwe strony lub wykonać inne działania w kontekście ich przeglądarki, co zagraża poufności i integralności danych.
Rekomendacja
Należy niezwłocznie zaktualizować MediaWiki do wersji 1.46.0, 1.45.4, 1.44.6 lub 1.43.9 oraz CentralAuth do odpowiednich wersji łatających.
Oryginalny opis (angielski, źródło NVD)
Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') vulnerability in Wikimedia Foundation MediaWiki, Wikimedia Foundation CentralAuth. This vulnerability is associated with program files includes/Api/ApiFormatBase.Php, includes/Api/ApiHelp.Php, includes/ResourceLoader/Module.Php, includes/Hooks/Handlers/PageDisplayHookHandler.Php, includes/LogFormatter/PermissionChangeLogFormatter.Php. This issue affects MediaWiki: from * before 1.46.0, 1.45.4, 1.44.6, 1.43.9; CentralAuth: from * before 1.46.0, 1.45.4, 1.44.6, 1.43.9.

