CRITICAL🇬🇧 English

CVE-2026-40470

Krytyczny XSS w hackage-server umożliwia przejęcie sesji użytkownika

CVSS 9.9v3.1pub. 2026-04-23upd. 2026-04-24

Krytyczna podatność typu XSS w hackage-server (w tym hackage.haskell.org) pozwala złośliwemu maintainerowi pakietu na serwowanie dowolnych plików HTML i JavaScript w kontekście głównej domeny. W efekcie możliwe jest przejęcie sesji uwierzytelnionego użytkownika i wykonanie dowolnych działań w jego imieniu.

Pokaż oryginał (EN)

A critical XSS vulnerability affected hackage-server and hackage.haskell.org. HTML and JavaScript files provided in source packages or via the documentation upload facility were served as-is on the main hackage.haskell.org domain. As a consequence, when a user with latent HTTP credentials browses to the package pages or documentation uploaded by a malicious package maintainer, their session can be hijacked to upload packages or documentation, amend maintainers or other package metadata, or perform any other action the user is authorised to do.

🤖 Analiza AI
Jak działa

Aplikacja hackage-server serwuje pliki HTML oraz JavaScript dostarczone w ramach pakietów źródłowych lub przesłane przez mechanizm dokumentacji bezpośrednio jako surowe zasoby w obrębie głównej domeny hackage.haskell.org, bez odpowiedniego filtrowania ani izolacji. Złośliwy maintainer pakietu może zatem umieścić spreparowany skrypt, który wykona się w przeglądarce ofiary w kontekście zaufanej domeny. Gdy użytkownik posiadający aktywną sesję HTTP odwiedzi stronę pakietu lub dokumentacji zawierającej złośliwy kod, skrypt uzyska dostęp do jego poświadczeń sesyjnych.

Skutki

Atakujący może przejąć sesję uwierzytelnionego użytkownika i w jego imieniu przesyłać pakiety lub dokumentację, modyfikować listę maintainerów oraz inne metadane pakietu, a także wykonywać dowolne inne operacje dostępne dla danego użytkownika.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://osv.dev/vulnerability/HSEC-2024-0004). Zaleca się również unikanie przeglądania stron niezaufanych pakietów na hackage.haskell.org do czasu zastosowania aktualizacji.

Kogo dotyczy

hackage-server oraz serwis hackage.haskell.org — konkretne wersje wskazane w referencjach producenta (HSEC-2024-0004)

Uwagi

Podatność jest powiązana z identyfikatorem HSEC-2024-0004 w bazie OSV, co sugeruje, że problem został odkryty i zgłoszony w roku 2024, natomiast CVE opublikowano w 2026. Pomimo wektora CVSS wskazującego na zakres zmieniony (S:C) i ocenę 9.9, poziom pilności określono jako WYSOKI z uwagi na brak wpisu w CISA KEV i brak potwierdzenia aktywnego exploitowania.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:L
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
XSS
CWE
Referencje