HSEC-2026-0004 漏洞总结 漏洞概述 Hackage package metadata stored XSS vulnerability Hackage 包元数据中存储的跨站脚本(XSS)漏洞。来自 文件的用户可控元数据被渲染到 HTML 属性中,且未进行适当 sanitization(净化),从而允许存储型跨站脚本攻击。 受影响的特定字段包括: (Haddock 超链接) 影响范围 受影响包: CVSS 评分: 9.9 (Critical) 影响版本: 影响类型: ECOSYSTEM 影响事件: Introduced 修复方案 Haskell Security Response Team 审计了 上所有已发布的包版本(不包括候选版本),未检测到利用尝试。 修复措施: 现在会检查目标 URI,并且仅在 URI 具有批准的方案( 、 ,以及某些字段的 )时才生成超链接。 修复已提交并部署到 。 其他 实例应尽快更新到以下提交或更高版本: 致谢 Joshua Rogers (https://joshua.hu/) of AISLE (https://aisle.com/) 向 Haskell Security Response Team 报告了此问题。 Fraser Tweedale 实施了修复。 Gershom Bazerman 合并了修复并部署到 。