CVE-2026-40472 — 神龙十问 AI 深度分析摘要

🚨 **本质**：hackage-server 存在 **存储型 XSS** 漏洞。 💥 **后果**：用户控制的元数据未清理，恶意脚本被持久化存储，受害者访问时自动执行。

🔍 **CWE**：CWE-79 (跨站脚本)。 📍 **缺陷点**：**输入验证缺失**。未对用户提交的元数据进行正确的 HTML 转义或清理。

📦 **组件**：**hackage-server**。 📌 **背景**：Haskell 生态的开源软件包仓库服务器。

🕵️ **黑客能力**： - 窃取 **Session/Cookie**。 - 劫持用户操作。 - 钓鱼或重定向。 - 影响范围：所有访问被污染页面的用户。

🔑 **利用门槛**： - **PR:L** (需要低权限认证)。 - **UI:N** (无需用户交互)。 - **AC:L** (攻击复杂度低)。 ⚠️ 需先拥有仓库上传/编辑权限。

📜 **Exp/PoC**： - 数据中 **pocs** 字段为空。 - 暂无公开现成 Exp。 - 参考链接：HSEC-2026-0004。

🔎 **自查方法**： - 扫描 **hackage-server** 实例。 - 检查元数据字段（如描述、标签）是否包含未转义的 `<script>` 或事件处理器。 - 使用 XSS 扫描器测试上传功能。

🛡️ **官方修复**： - 发布日期：**2026-04-23**。 - 建议立即升级至 **修复版本**（需查阅官方公告获取具体版本号）。 - 参考：osv.dev 链接。

🚧 **临时规避**： - **WAF 规则**：拦截包含 `<script>` 的元数据请求。 - **输入过滤**：在服务端强制转义所有用户输入的元数据。 - **权限收紧**：限制元数据编辑权限。

⚡ **优先级**：**高 (High)**。 - **CVSS**：向量显示 **C:H, I:H** (机密性/完整性高影响)。 - **S:C** (影响范围扩大)。 - 建议 **立即处理**，防止恶意脚本长期驻留。