HSEC-2026-0002 漏洞总结 漏洞概述 漏洞类型:Hackage CSRF 漏洞 漏洞描述:Hackage 服务器缺少跨站请求伪造(CSRF)保护。攻击者可通过外部网站触发请求,利用已泄露的凭据上传包或执行其他管理操作。部分未授权操作(如创建新用户)也可被滥用。 受影响文件: 影响方式:可通过 XSS 强制发起请求 影响范围 受影响包: 严重性:9.6 (Critical) CVSS 评分:CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:L 受影响版本:所有版本( ) 引入事件:初始引入 修复方案 修复方式:新增 CSRF 中间件检查所有请求。 技术细节: - 除 、 和 外的 HTTP 方法请求,需检查 头(现代浏览器广泛支持)。 - 跨站请求将被拒绝(返回 403 Forbidden)。 - 例外情况: - 已批准且预期的非浏览器用户代理(如 ) - 使用令牌认证的请求( ) 修复状态:已提交并部署至 修复链接: - 提交:https://github.com/haskell/hackage-server/commit/2de3ae45082f8f3294dffa620d90de4058 - 部署页面:https://hackage.haskell.org 致谢 Joshua Rogers (AISLE) 报告问题 Spenser Janssen 实现修复,Fraser Tweedale 审查 Gershom Bazerman 合并修复并部署 数据库特定信息