CVE-2026-40472
CriticalSummary
W hackage-server, metadane kontrolowane przez użytkownika z plików .cabal są renderowane w atrybutach href HTML bez odpowiedniej sanitizacji, co umożliwia ataki typu Cross-Site Scripting (XSS) typu stored.
Risk Assessment
Atakujący może wykorzystać tę podatność do wstrzykiwania złośliwego kodu JavaScript, co może prowadzić do kradzieży danych użytkowników lub przejęcia sesji.
Recommendation
Zaleca się wdrożenie odpowiednich mechanizmów sanitizacji danych wejściowych oraz aktualizację hackage-server do najnowszej wersji, aby zminimalizować ryzyko ataków XSS.
Original NVD description (English source)
In hackage-server, user-controlled metadata from .cabal files are rendered into HTML href attributes without proper sanitization, enabling stored Cross-Site Scripting (XSS) attacks.

