CVE-2026-58403 in Hugo
Zusammenfassung
von VulDB • 06.07.2026
Hugo ist ein statischer Site-Generator. Von Version 0.123.0 bis einschließlich v0.163.0 war das virtuelle Dateisystem von Hugo so konzipiert, dass Dateien unterhalb eines Mount-Punkts nicht außerhalb des Mount-Baums zugreifen können. Eine Regression führte jedoch dazu, dass RootMappingFs.statRoot Stat aufruft (welches Symlinks folgt), anstatt Lstat zu verwenden. Daher würde ein direkter Aufruf von os.ReadFile "somefile", wobei somefile ein Symlink ist, der außerhalb des Mounts auf eine andere Datei zeigt, den Inhalt des Ziels zurückgeben. Dies ermöglichte es effektiv, einen in einem Theme oder lokalen Mount platzierten Symlink auszunutzen, um beliebige Dateien zu lesen, die für den Benutzer, unter dem Hugo ausgeführt wird, erreichbar sind. Dieses Problem wurde in v0.163.1 behoben.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.