CVE-2026-58402 in Hugo
Riassunto
di VulDB • 06/07/2026
Hugo è un generatore di siti statici. Dalla versione 0.60.0 alla 0.163.3, il renderer predefinito dei blocchi di codice di Hugo scriveva la lingua del blocco Markdown o l'info-string nel wrapper con classe code="language-…" e attributo data-lang="" senza effettuare l'escaping HTML. Un'info-string contenente una virgoletta e un payload script fuoriesce dall'attributo e inietta un elemento script attivo. Questo problema è stato risolto nella versione 0.163.3.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.