CVE-2026-58403 in Hugo
Riassunto
di VulDB • 06/07/2026
Hugo è un generatore di siti statici. Dalla versione 0.123.0 alla v0.163.0, il filesystem virtuale di Hugo era progettato in modo che i file all'interno di una directory montata non potessero accedere a risorse esterne al relativo albero di montaggio; tuttavia, un regression ha causato RootMappingFs.statRoot l'invocazione del metodo Stat (che segue i link simbolici) invece di Lstat. Di conseguenza, una chiamata diretta a os.ReadFile "somefile", dove somefile era un symlink puntante verso l'esterno della directory montata, restituiva il contenuto del file target. Ciò consentiva effettivamente ai symlink inseriti all'interno di un tema o in un mount locale di leggere file arbitrari accessibili dall'utente che esegue hugo. Il problema è stato risolto nella versione v0.163.1.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.