Podsumowanie
| Parametr | Wartość |
|---|---|
| CVE ID | CVE-2026-40471 |
| Źródło alertu | GitHub Advisory - Krytyczna podatność |
| Rok publikacji CVE | 2026 |
| Data publikacji | 2026-04-23 |
| Producent | Haskell.org |
| Produkt | hackage-server |
| CVSS Score | 9.6 (Krytyczny) |
| EPSS Score | Brak danych |
| CISA KEV | Nie |
| Ransomware | Nie potwierdzono |
Opis podatności
Źródło: NVD
hackage-server nie posiadał ochrony Cross-Site Request Forgery (CSRF) w swoich endpointach. Skrypty na zewnętrznych stronach mogły wywoływać żądania do serwera hackage, potencjalnie nadużywając aktywnych poświadczeń ofiary do wgrywania pakietów lub wykonywania innych akcji administracyjnych. Nadużyte mogły być również niektóre akcje nieuwierzytelnione (np. tworzenie nowych kont użytkowników).
Wymagane działania
Operatorzy prywatnych instancji hackage-server powinni niezwłocznie zaktualizować oprogramowanie do wersji wprowadzającej tokeny CSRF. Do czasu aktualizacji rozważ wylogowywanie użytkowników, którzy nie korzystają aktywnie z serwisu, oraz monitoruj logi pod kątem nieautoryzowanych operacji. Użytkownicy powinni unikać klikania w niezaufane linki podczas zalogowania na hackage.
Kogo dotyczy?
Podatność dotyczy produktu hackage-server używanego między innymi przez hackage.haskell.org. Sprawdź czy Twoja organizacja prowadzi prywatną instancję hackage-server i niezwłocznie zaktualizuj ją do wersji zawierającej ochronę CSRF.
Źródła
Potrzebujesz wsparcia w zabezpieczeniu systemów? Zespół nFlo oferuje usługi zarządzania podatnościami oraz SOC 24/7. Skontaktuj się z nami.
