Jmooring

**Nome do Software Vulnerável e Versões Afetadas** Hugo versões anteriores a 0.161.0 **Descrição** Ao construir um site que utiliza pipelines de ativos baseados em Node, como PostCSS, Babel ou TailwindCSS, o software invoca ferramentas Node configuradas sem restrições de acesso ao sistema de arquivos. Isso permite que o código executado por meio dessas ferramentas leia ou grave arquivos fora do diretório de trabalho do projeto ao processar um site não confiável. **Recomendações** Atualize para a versão 0.161.0 ou posterior. Como alternativa temporária, bloqueie as ferramentas afetadas na configuração `security.exec.allow`.

**Nome do software vulnerável e versões afetadas** Versões do Hugo de 0.123.0 a 0.139.4 **Descrição** O problema diz respeito a atributos HTML não escapados em Markdown dentro de modelos internos. Isso afeta usuários do Hugo que não confiam em seus arquivos de conteúdo Markdown e estão usando um ou mais dos seguintes modelos: ` default/ markup/render-link.html`, ` default/ markup/render-image.html`, ` default/ markup/render-table.html` e/ou `shortcodes/youtube.html`. O problema foi corrigido na versão 0.139.4. **Recomendações** Para as versões do Hugo de 0.123.0 a 0.139.4, substitua os modelos internos afetados por modelos definidos pelo usuário ou desative os modelos internos para mitigar o risco. Especificamente, considere substituir ou desativar os seguintes modelos: ` default/ markup/render-link.html`, ` default/ markup/render-image.html`, ` default/ markup/render-table.html` e `shortcodes/youtube.html`. Atualize para a versão 0.139.4 ou posterior para resolver totalmente o problema.