CVE-2026-40472
KrytyczneStreszczenie
W hackage-server, metadane kontrolowane przez użytkownika z plików .cabal są renderowane w atrybutach href HTML bez odpowiedniej sanitizacji, co umożliwia ataki typu Cross-Site Scripting (XSS) typu stored.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do wstrzykiwania złośliwego kodu JavaScript, co może prowadzić do kradzieży danych użytkowników lub przejęcia sesji.
Rekomendacja
Zaleca się wdrożenie odpowiednich mechanizmów sanitizacji danych wejściowych oraz aktualizację hackage-server do najnowszej wersji, aby zminimalizować ryzyko ataków XSS.
Oryginalny opis (angielski, źródło NVD)
In hackage-server, user-controlled metadata from .cabal files are rendered into HTML href attributes without proper sanitization, enabling stored Cross-Site Scripting (XSS) attacks.

