Podsumowanie
| Parametr | Wartość |
|---|---|
| CVE ID | CVE-2026-40470 |
| Źródło alertu | GitHub Advisory - Krytyczna podatność |
| Rok publikacji CVE | 2026 |
| Data publikacji | 2026-04-23 |
| Producent | Haskell.org |
| Produkt | hackage-server |
| CVSS Score | 9.9 (Krytyczny) |
| EPSS Score | Brak danych |
| CISA KEV | Nie |
| Ransomware | Nie potwierdzono |
Opis podatności
Źródło: NVD
Krytyczna podatność XSS dotyczyła hackage-server oraz hackage.haskell.org. Pliki HTML i JavaScript dostarczane w pakietach źródłowych lub poprzez mechanizm uploadu dokumentacji były serwowane bez modyfikacji (as-is) na głównej domenie hackage.haskell.org. W konsekwencji, gdy użytkownik z aktywnymi poświadczeniami HTTP otwiera strony pakietów lub dokumentację wgraną przez złośliwego maintainera pakietu, jego sesja może zostać przejęta w celu wgrywania pakietów lub dokumentacji, modyfikacji listy maintainerów lub innych metadanych pakietów, lub wykonywania innych działań w imieniu ofiary.
Wymagane działania
Operatorzy własnych instancji hackage-server powinni niezwłocznie zaktualizować oprogramowanie do wersji zawierającej poprawkę bezpieczeństwa. Hackage.haskell.org został już zaktualizowany przez zespół Haskell.org. Użytkownicy publikujący pakiety powinni zweryfikować, czy ich konta nie były wykorzystane do nieautoryzowanych zmian, oraz przejrzeć logi uploadów. Rozważ wylogowanie i wymianę credential-i jeśli istnieje podejrzenie naruszenia.
Kogo dotyczy?
Podatność dotyczy produktu hackage-server używanego między innymi przez hackage.haskell.org. Sprawdź czy Twoja organizacja prowadzi prywatną instancję hackage-server i niezwłocznie zaktualizuj instalację do wersji zawierającej poprawkę.
Źródła
Potrzebujesz wsparcia w zabezpieczeniu systemów? Zespół nFlo oferuje usługi zarządzania podatnościami oraz SOC 24/7. Skontaktuj się z nami.
