CVE-2026-39840MediaWiki 的 Cargo 扩展在网页生成过程中存在输入验证不当的缺陷,导致跨站脚本(XSS)漏洞。该问题影响 3.8.7 之前的版本,允许攻击者针对非脚本元素注入恶意代码。用户在访问包含恶意 payload 的页面时,浏览器将解析并执行该代码,可能导致敏感信息泄露或会话劫持。
该漏洞的根本原因在于 MediaWiki Cargo 扩展在处理用户提交的数据并将其集成到网页输出时,未实施适当的中和机制。具体而言,Cargo 扩展允许用户通过特定接口定义和查询数据,但在将用户输入回显到页面非脚本元素(如标签属性、文本节点)之前,未进行严格的上下文相关转义。攻击者可以精心构造包含 JavaScript 代码的 payload,例如通过闭合现有标签并注入新的脚本标签或事件处理器。当认证用户或普通用户访问被篡改的 URL 时,服务器会直接将恶意数据返回给客户端,导致浏览器解析并执行该脚本。由于 CVSS 向量显示无需认证(PR:N)且需要用户交互(UI:R),这表明攻击者通常需要诱导受害者点击特制链接,利用受害者的身份权限在 MediaWiki 环境中执行恶意操作。