CVE-2026-40470
KrytyczneStreszczenie
Krytyczna podatność XSS dotyczyła hackage-server oraz hackage.haskell.org. Pliki HTML i JavaScript dostarczane w pakietach źródłowych lub za pośrednictwem funkcji przesyłania dokumentacji były serwowane bezpośrednio na głównym domenie hackage.haskell.org.
Ocena ryzyka
W wyniku tej podatności, użytkownik z aktywnymi poświadczeniami HTTP przeglądający strony pakietów lub dokumentację przesłaną przez złośliwego maintenara może mieć przejętą sesję, co pozwala na nieautoryzowane działania w systemie.
Rekomendacja
Zaleca się aktualizację hackage-server do najnowszej wersji oraz wdrożenie odpowiednich zabezpieczeń, aby zminimalizować ryzyko ataków XSS.
Oryginalny opis (angielski, źródło NVD)
A critical XSS vulnerability affected hackage-server and hackage.haskell.org. HTML and JavaScript files provided in source packages or via the documentation upload facility were served as-is on the main hackage.haskell.org domain. As a consequence, when a user with latent HTTP credentials browses to the package pages or documentation uploaded by a malicious package maintainer, their session can be hijacked to upload packages or documentation, amend maintainers or other package metadata, or perform any other action the user is authorised to do.

