CVE-2026-44301 in hugoinformación

Resumen

por VulDB • 2026-05-12

Hugo es un generador de sitios estáticos. Desde la versión 0.43 hasta antes de la 0.161.0, al construir un sitio Hugo que utiliza pipelines de activos basados en Node (PostCSS, Babel, TailwindCSS), Hugo invocaba las herramientas Node configuradas sin restricciones en el acceso al sistema de archivos. Como resultado, ejecutar hugo contra un sitio no confiable podría permitir que el código ejecutado a través de estas herramientas lea o escriba archivos fuera del directorio de trabajo del proyecto. Los usuarios que no utilizan PostCSS, Babel o TailwindCSS, o que solo construyen sitios de confianza, no se ven afectados. Esta vulnerabilidad está corregida en la versión 0.161.0.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-05-05

Divulgación

2026-05-13

Moderación

aceptado

Artículo

VDB-363430

CPE

listo

CWE

CWE-22 (confirmado)

CVSS

8.1 (NVD)

EPSS

0.00044

KEV

Actividades

muy bajo

Fuentes

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-44301
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-44301
CVE Details	https://www.cvedetails.com/cve/CVE-2026-44301/

◂ Anterior Visión De Conjunto Próximo ▸

Do you know our Splunk app?

Download it now for free!