CVE-2026-39837 CVSS 5.4 中危

CVE-2026-39837: MediaWiki Cargo Extension 存储型XSS漏洞

披露日期: 2026-04-07

来源: c4f26cc8-17ff-4c99-b5e2-38fc1793eacc

漏洞信息

漏洞编号

CVE-2026-39837

漏洞类型

存储型跨站脚本攻击 (Stored XSS)

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

MediaWiki Cargo Extension

漏洞概述

该漏洞存在于WikiWorks Mediawiki的Cargo扩展中，由于对网页中的脚本相关HTML标签处理不当，导致存储型XSS漏洞。攻击者可利用此漏洞在受影响版本的Cargo扩展中注入恶意脚本，当其他用户浏览被篡改的页面时，恶意脚本将在其浏览器中执行，从而窃取用户凭据或执行未授权操作。受影响版本为3.8.7之前的版本。

技术细节

漏洞源于Cargo Extension在处理用户输入时未对HTML标签进行充分的过滤和转义。具体而言，攻击者可以在Cargo定义的字段或相关数据输入点插入包含JavaScript代码的恶意HTML标签（如<script>或带有事件处理属性的标签）。由于是存储型XSS，该恶意载荷会被持久化存储在数据库中。当具备低权限的攻击者提交数据后，任何访问该页面的用户（包括管理员）在渲染页面时，浏览器会解析这些恶意标签并执行其中的脚本。这可能导致用户的会话令牌被盗取，进而导致账户被接管。根据CVSS向量，攻击需要低权限且需要用户交互（如浏览特定页面）。

攻击链分析

STEP 1

侦察

攻击者确认目标正在使用存在漏洞的MediaWiki Cargo Extension版本（< 3.8.7）。

STEP 2

载荷注入

攻击者利用低权限账户编辑页面或在Cargo表格中输入数据，并在字段中插入恶意HTML/JavaScript代码。

STEP 3

存储

应用程序将未经过滤的恶意输入存储在数据库中。

STEP 4

触发

受害者用户（可能是管理员）浏览包含该恶意数据的页面。

STEP 5

执行

受害者的浏览器解析恶意HTML标签并执行脚本，导致Cookie泄露或恶意操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- PoC for Stored XSS in MediaWiki Cargo Extension -->
<!-- Attacker injects this payload into a vulnerable Cargo field -->

<svg onload=alert('CVE-2026-39837')>

<!-- Alternatively, using img tag -->
<img src=x onerror=alert(document.cookie)>

<!-- Note: This payload executes when a victim views the page containing the stored data -->

影响范围

MediaWiki Cargo Extension < 3.8.7

防御指南

临时缓解措施

如果无法立即升级，建议限制Cargo扩展的编辑权限，仅允许受信任的用户编辑相关页面，或者使用Web应用防火墙（WAF）规则来拦截常见的XSS攻击模式。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表