Krytyczna podatność typu XSS w hackage-server (w tym hackage.haskell.org) pozwala złośliwemu maintainerowi pakietu na serwowanie dowolnych plików HTML i JavaScript w kontekście głównej domeny. W efekcie możliwe jest przejęcie sesji uwierzytelnionego użytkownika i wykonanie dowolnych działań w jego imieniu.
▸ Pokaż oryginał (EN)
A critical XSS vulnerability affected hackage-server and hackage.haskell.org. HTML and JavaScript files provided in source packages or via the documentation upload facility were served as-is on the main hackage.haskell.org domain. As a consequence, when a user with latent HTTP credentials browses to the package pages or documentation uploaded by a malicious package maintainer, their session can be hijacked to upload packages or documentation, amend maintainers or other package metadata, or perform any other action the user is authorised to do.
Aplikacja hackage-server serwuje pliki HTML oraz JavaScript dostarczone w ramach pakietów źródłowych lub przesłane przez mechanizm dokumentacji bezpośrednio jako surowe zasoby w obrębie głównej domeny hackage.haskell.org, bez odpowiedniego filtrowania ani izolacji. Złośliwy maintainer pakietu może zatem umieścić spreparowany skrypt, który wykona się w przeglądarce ofiary w kontekście zaufanej domeny. Gdy użytkownik posiadający aktywną sesję HTTP odwiedzi stronę pakietu lub dokumentacji zawierającej złośliwy kod, skrypt uzyska dostęp do jego poświadczeń sesyjnych.
Atakujący może przejąć sesję uwierzytelnionego użytkownika i w jego imieniu przesyłać pakiety lub dokumentację, modyfikować listę maintainerów oraz inne metadane pakietu, a także wykonywać dowolne inne operacje dostępne dla danego użytkownika.
Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://osv.dev/vulnerability/HSEC-2024-0004). Zaleca się również unikanie przeglądania stron niezaufanych pakietów na hackage.haskell.org do czasu zastosowania aktualizacji.
hackage-server oraz serwis hackage.haskell.org — konkretne wersje wskazane w referencjach producenta (HSEC-2024-0004)
Podatność jest powiązana z identyfikatorem HSEC-2024-0004 w bazie OSV, co sugeruje, że problem został odkryty i zgłoszony w roku 2024, natomiast CVE opublikowano w 2026. Pomimo wektora CVSS wskazującego na zakres zmieniony (S:C) i ocenę 9.9, poziom pilności określono jako WYSOKI z uwagi na brak wpisu w CISA KEV i brak potwierdzenia aktywnego exploitowania.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:L