Wikimedia AbuseFilter 漏洞 CVE-2026-34086 允许编辑者绕过

执行摘要

维基媒体基金会的 AbuseFilter 扩展存在一个漏洞，编号为 CVE-2026-34086，该漏洞允许用户绕过 MediaWiki 安装上配置的编辑限制。此缺陷影响 AbuseFilter 1.43.7、1.44.4 和 1.45.2 之前的版本。根据该项目的 Phabricator 跟踪器（T415584），问题已在内部发现，并在最新版本中进行了修补。截至本文撰写时，尚未发布 CVSS 评分或公开漏洞代码，但该漏洞破坏了维基百科和其他维基媒体维基中使用的核心反滥用控制。

技术分析

AbuseFilter 是一个 MediaWiki 扩展，允许管理员创建自定义规则——用一种称为“过滤器条件”的领域特定语言编写——自动检测和阻止不良编辑，如破坏、垃圾邮件或针对性骚扰。过滤器根据一组条件（例如，页面内容的正则表达式模式、用户组、编辑频率）评估每次编辑，并可以采取包括警告用户、标记编辑或完全阻止保存在内的行动。

CVE-2026-34086 是 AbuseFilter 处理某些过滤器操作时的逻辑缺陷。Phabricator 条目（T415584）将问题描述为允许用户“绕过 AbuseFilter 施加的限制”，尽管确切机制尚未公开详细说明。该漏洞是在未指定的版本中引入的，影响所有运行 AbuseFilter 的安装，直到以下修补版本：

• 1.43.7（针对 1.43 LTS 分支）
• 1.44.4（针对 1.44 稳定分支）
• 1.45.2（针对 1.45 开发分支）

修复已提交到 MediaWiki Git 存储库，并回传到受影响的分支。维基媒体基金会尚未披露该漏洞是由外部研究人员报告的，还是在内部代码审查中发现的。尚未发布有关在野外利用的证据。

由于 AbuseFilter 是高流量维基上的关键管理工具——仅维基百科每月就处理数千万个编辑——此类绕过可能导致持续的破坏、垃圾邮件活动或针对性骚扰，管理员依赖过滤器进行阻止。影响仅限于使用 AbuseFilter 的维基；没有扩展的安装不受影响。

缓解措施与建议

使用 AbuseFilter 的 MediaWiki 安装的管理员应立即升级到修补版本：

• 对于 1.43 LTS 分支：升级到 1.43.7 或更高版本。
• 对于 1.44 稳定分支：升级到 1.44.4 或更高版本。
• 对于 1.45 开发分支：升级到 1.45.2 或更高版本。

维基媒体基金会托管的维基（维基百科、维基共享资源、维基数据等）的用户无需采取行动——基金会已将其应用于其生产基础设施。对于自托管的 MediaWiki 实例，管理员应通过检查维基的 Special:Version 页面中的扩展版本字符串或通过 MediaWiki 安装目录来验证他们的 AbuseFilter 版本。

如果无法立即升级，管理员可以暂时通过从 LocalSettings.php 中移除扩展（wfLoadExtension( 'AbuseFilter' );）来禁用 AbuseFilter，直到可以执行升级。然而，这会移除所有基于过滤器的保护，因此只有在最后关头并且有补偿控制措施到位时（例如，更严格的用户注册要求、验证码或手动审查编辑）才应这样做。

防御者应监控他们维基的最新更改和滥用日志中的模式，这些模式表明尝试绕过过滤器——例如，本应被阻止但被允许通过的编辑，或新注册用户的编辑数量异常激增。尚未发布此漏洞的具体入侵指标。