CVE-2026-58404 in Hugo
Riassunto
di VulDB • 06/07/2026
Hugo è un generatore di siti statici. Dalla versione 0.162.0 alla versione 0.163.0, la policy security.http.urls predefinita negava le richieste verso indirizzi IPv4 letterali di loopback, interni e cloud-metadata; tuttavia, la regola di blocco corrispondeva solo alla notazione decimale puntata (dotted-decimal), consentendo il passaggio delle altre codifiche IPv4 degli stessi indirizzi, incluse quelle intere, esadecimali o ottali. Quando un template passa a resources.GetRemote un URL non attendibile o derivato da dati e la piattaforma host utilizza il risolutore di sistema cgo, queste codifiche vengono risolte nell'indirizzo bloccato, consentendo richieste lato server in fase di build verso servizi di loopback e interni, incluso l'endpoint cloud-metadata nelle build ospitate o CI; lo stesso controllo viene riutilizzato per i redirect, pertanto la lacuna si applica anche a ogni hop del redirect. Questo problema è stato risolto nella versione 0.163.1.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.