CVE-2026-58404 in Hugoinformazioni

Riassunto

di VulDB • 06/07/2026

Hugo è un generatore di siti statici. Dalla versione 0.162.0 alla versione 0.163.0, la policy security.http.urls predefinita negava le richieste verso indirizzi IPv4 letterali di loopback, interni e cloud-metadata; tuttavia, la regola di blocco corrispondeva solo alla notazione decimale puntata (dotted-decimal), consentendo il passaggio delle altre codifiche IPv4 degli stessi indirizzi, incluse quelle intere, esadecimali o ottali. Quando un template passa a resources.GetRemote un URL non attendibile o derivato da dati e la piattaforma host utilizza il risolutore di sistema cgo, queste codifiche vengono risolte nell'indirizzo bloccato, consentendo richieste lato server in fase di build verso servizi di loopback e interni, incluso l'endpoint cloud-metadata nelle build ospitate o CI; lo stesso controllo viene riutilizzato per i redirect, pertanto la lacuna si applica anche a ogni hop del redirect. Questo problema è stato risolto nella versione 0.163.1.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsabile

GitHub M

Prenotare

30/06/2026

Divulgazione

06/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Might our Artificial Intelligence support you?

Check our Alexa App!