Podsumowanie
| Parametr | Wartość |
|---|---|
| CVE ID | CVE-2026-40472 |
| Źródło alertu | GitHub Advisory - Krytyczna podatność |
| Rok publikacji CVE | 2026 |
| Data publikacji | 2026-04-23 |
| Producent | Haskell |
| Produkt | hackage-server |
| CVSS Score | 9.9 (Krytyczny) |
| EPSS Score | 0.0% (percentyl: 14%) |
| CISA KEV | Nie |
| Ransomware | Nie potwierdzono |
Opis podatności
Źródło: NVD
W hackage-server metadane pochodzące z plików
.cabal, kontrolowane przez użytkownika, są renderowane do atrybutów HTMLhrefbez prawidłowej sanityzacji. Umożliwia to przeprowadzenie ataków typu stored Cross-Site Scripting (XSS) — złośliwy kod JavaScript zapisany w metadanych pakietu wykona się w przeglądarce każdego użytkownika odwiedzającego stronę pakietu.
Wymagane działania
Zastosuj poprawki producenta niezwłocznie po ich opublikowaniu. Operatorzy własnych instancji hackage-server powinni zaktualizować wdrożenie do załatanej wersji. Do czasu aktualizacji rozważ zaostrzenie polityki Content Security Policy (CSP), aby ograniczyć wykonanie inline-JavaScript, oraz przegląd metadanych pakietów pod kątem podejrzanych atrybutów href.
Kogo dotyczy?
Podatność dotyczy produktu hackage-server — oprogramowania obsługującego centralne repozytorium pakietów Haskell (hackage.haskell.org) oraz wszystkich jego własnych wdrożeń (mirrory, prywatne rejestry). Zagrożeni są operatorzy instancji hackage-server oraz użytkownicy przeglądający strony pakietów.
Źródła
Potrzebujesz wsparcia w zabezpieczeniu systemów? Zespół nFlo oferuje usługi zarządzania podatnościami oraz SOC 24/7. Skontaktuj się z nami.
