CVE-2026-40471
CriticalSummary
Serwer hackage nie posiadał ochrony przed atakami Cross-Site Request Forgery (CSRF) na swoich punktach końcowych. Skrypty na obcych stronach mogły wywoływać żądania do serwera hackage, co mogło prowadzić do nadużycia ukrytych poświadczeń w celu przesyłania pakietów lub wykonywania innych działań administracyjnych.
Risk Assessment
Brak ochrony CSRF stwarza ryzyko, że nieautoryzowane podmioty mogą przeprowadzać niepożądane operacje na serwerze, takie jak tworzenie nowych kont użytkowników czy przesyłanie złośliwych pakietów.
Recommendation
Zaleca się wdrożenie mechanizmów ochrony przed CSRF na wszystkich punktach końcowych serwera hackage, aby zabezpieczyć się przed potencjalnymi atakami i nadużyciami.
Original NVD description (English source)
hackage-server lacked Cross-Site Request Forgery (CSRF) protection across its endpoints. Scripts on foreign sites could trigger requests to hackage server, possibly abusing latent credentials to upload packages or perform other administrative actions. Some unauthenticated actions could also be abused (e.g. creating new user accounts).

