CVE-2026-40472 CVSS 9.9 严重

CVE-2026-40472 hackage-server存储型XSS漏洞

披露日期: 2026-04-23

来源: 74b3a70d-cca6-4d34-9789-e83b222ae3be

漏洞信息

漏洞编号

CVE-2026-40472

漏洞类型

存储型XSS

CVSS评分

9.9 严重

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

hackage-server

漏洞概述

CVE-2026-40472 是 hackage-server 中发现的一个严重安全漏洞。该漏洞由于服务器未能正确清理来自 .cabal 文件的用户控制元数据所致。当这些数据被渲染到 HTML href 属性时，攻击者可以注入恶意脚本，导致存储型跨站脚本（XSS）攻击。鉴于 CVSS 评分高达 9.9，该漏洞对系统安全性构成极大威胁，可能导致用户数据泄露或会话劫持。

技术细节

该漏洞的根源在于 hackage-server 在处理软件包元数据时缺乏严格的输入验证。攻击者可以通过上传特制的 .cabal 文件，将恶意载荷注入到元数据字段中。服务器在解析这些文件后，未经适当的上下文感知转义，直接将数据输出到 HTML 标签的 href 属性里。这使得攻击者能够利用 `javascript:` 伪协议或事件处理器绕过浏览器限制。由于是存储型漏洞，恶意代码会持久化在服务器上，任何访问该页面的用户都会触发脚本执行，从而面临被窃取凭证或执行未授权操作的风险。

攻击链分析

STEP 1

1. 恶意上传

攻击者构造包含恶意 JavaScript 代码的 .cabal 文件，并将其上传到 hackage-server。

STEP 2

2. 数据存储

服务器接收并处理该文件，将未经过滤的元数据存储在数据库中。

STEP 3

3. 页面渲染

当管理员或其他用户浏览该软件包页面时，服务器从数据库读取元数据并生成 HTML 响应。

STEP 4

4. 触发漏洞

由于未对 href 属性进行转义，受害者的浏览器解析并执行注入的恶意脚本。

STEP 5

5. 攻击执行

恶意脚本在受害者浏览器上下文中运行，窃取 Cookie 或执行其他恶意操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

-- Example of a malicious .cabal file metadata field
Name:                PoCPackage
Version:             1.0.0.0
Synopsis:            Proof of Concept for CVE-2026-40472
Description:         This package demonstrates the XSS vulnerability.
Homepage:            javascript:alert(document.cookie)
-- Alternatively, using event handlers in URL context if applicable
-- Homepage:            "><script>alert('XSS')</script>

影响范围

hackage-server (具体受影响版本请参考官方安全公告)

防御指南

临时缓解措施

在未升级修复之前，建议限制非信任用户上传软件包的权限，并在服务器端部署 WAF 规则以拦截包含恶意脚本特征的请求。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-40472
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-40472
3 Details https://www.cvedetails.com/cve/CVE-2026-40472/
4 VulDB https://vuldb.com/cve/CVE-2026-40472
5 Link https://osv.dev/vulnerability/HSEC-2026-0004

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表