CVE-2026-58403 in Hugoinfo

Zusammenfassung

von VulDB • 06.07.2026

Hugo ist ein statischer Site-Generator. Von Version 0.123.0 bis einschließlich v0.163.0 war das virtuelle Dateisystem von Hugo so konzipiert, dass Dateien unterhalb eines Mount-Punkts nicht außerhalb des Mount-Baums zugreifen können. Eine Regression führte jedoch dazu, dass RootMappingFs.statRoot Stat aufruft (welches Symlinks folgt), anstatt Lstat zu verwenden. Daher würde ein direkter Aufruf von os.ReadFile "somefile", wobei somefile ein Symlink ist, der außerhalb des Mounts auf eine andere Datei zeigt, den Inhalt des Ziels zurückgeben. Dies ermöglichte es effektiv, einen in einem Theme oder lokalen Mount platzierten Symlink auszunutzen, um beliebige Dateien zu lesen, die für den Benutzer, unter dem Hugo ausgeführt wird, erreichbar sind. Dieses Problem wurde in v0.163.1 behoben.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Zuständig

GitHub M

Reservieren

30.06.2026

Veröffentlichung

06.07.2026

Moderieren

akzeptiert

Eintrag

VDB-376515

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

Want to stay up to date on a daily basis?

Enable the mail alert feature now!