PT-2024-24931 · Hugo · Hugo

Ejona86

·

Publicado

2024-04-23

·

Atualizado

2024-06-04

·

CVE-2024-32875

CVSS v3.1

6.1

Média

VetorAV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
Nome do software vulnerável e versões afetadas
Versões do Hugo de 0.123.0 a 0.125.3
Descrição
O Hugo é um gerador de sites estáticos no qual os argumentos de título em Markdown para links e imagens não são escapados nos ganchos de renderização internos. Esse problema afeta usuários do Hugo que tenham esses ganchos ativados e não confiem em seus arquivos de conteúdo Markdown. O problema foi resolvido na versão 0.125.3.
Recomendações
Para as versões do Hugo 0.123.0 a 0.125.3, substitua os modelos por modelos definidos pelo usuário ou desative os modelos internos como solução alternativa até que o problema seja resolvido com a atualização para a versão 0.125.3 ou posterior.

Exploit

Correção

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-80CWE-79

Identificadores relacionados

CVE-2024-32875
GHSA-PPF8-HHPP-F5HJ
GO-2024-2747

Produtos afetados

Hugo