CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-40472

Critical
Published: Translated: NVD NIST

Summary

W hackage-server, metadane kontrolowane przez użytkownika z plików .cabal są renderowane w atrybutach href HTML bez odpowiedniej sanitizacji, co umożliwia ataki typu Cross-Site Scripting (XSS) typu stored.

Risk Assessment

Atakujący może wykorzystać tę podatność do wstrzykiwania złośliwego kodu JavaScript, co może prowadzić do kradzieży danych użytkowników lub przejęcia sesji.

Recommendation

Zaleca się wdrożenie odpowiednich mechanizmów sanitizacji danych wejściowych oraz aktualizację hackage-server do najnowszej wersji, aby zminimalizować ryzyko ataków XSS.

Original NVD description (English source)

In hackage-server, user-controlled metadata from .cabal files are rendered into HTML href attributes without proper sanitization, enabling stored Cross-Site Scripting (XSS) attacks.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS