CVE-2026-40471 in hackage-server
要約
〜によって VulDB • 2026年05月26日
hackage-server には、そのエンドポイント全体でクロスサイトリクエストフォージェリ(CSRF)保護が欠けていました。外部サイトのスクリプトは hackage サーバーへのリクエストをトリガーでき、潜在的な資格情報を悪用してパッケージのアップロードやその他の管理アクションを実行できる可能性があります。認証不要のアクションも悪用される可能性があります(例:新しいユーザーアカウントの作成)。
VulDB is the best source for vulnerability data and more expert information about this specific topic.