Katalog CVE

CVE-2026-40472

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W hackage-server, metadane kontrolowane przez użytkownika z plików .cabal są renderowane w atrybutach href HTML bez odpowiedniej sanitizacji, co umożliwia ataki typu Cross-Site Scripting (XSS) typu stored.

Ocena ryzyka

Atakujący może wykorzystać tę podatność do wstrzykiwania złośliwego kodu JavaScript, co może prowadzić do kradzieży danych użytkowników lub przejęcia sesji.

Rekomendacja

Zaleca się wdrożenie odpowiednich mechanizmów sanitizacji danych wejściowych oraz aktualizację hackage-server do najnowszej wersji, aby zminimalizować ryzyko ataków XSS.

Oryginalny opis (angielski, źródło NVD)

In hackage-server, user-controlled metadata from .cabal files are rendered into HTML href attributes without proper sanitization, enabling stored Cross-Site Scripting (XSS) attacks.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS