PT-2024-36563 · Hugo+1 · Hugo+1
Jmooring
·
Publicado
2024-12-09
·
Atualizado
2024-12-18
·
CVE-2024-55601
CVSS v4.0
5.3
Média
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
Nome do software vulnerável e versões afetadas
Versões do Hugo de 0.123.0 a 0.139.4
Descrição
O problema diz respeito a atributos HTML não escapados em Markdown dentro de modelos internos. Isso afeta usuários do Hugo que não confiam em seus arquivos de conteúdo Markdown e estão usando um ou mais dos seguintes modelos:
default/ markup/render-link.html, default/ markup/render-image.html, default/ markup/render-table.html e/ou shortcodes/youtube.html. O problema foi corrigido na versão 0.139.4.Recomendações
Para as versões do Hugo de 0.123.0 a 0.139.4, substitua os modelos internos afetados por modelos definidos pelo usuário ou desative os modelos internos para mitigar o risco. Especificamente, considere substituir ou desativar os seguintes modelos:
default/ markup/render-link.html, default/ markup/render-image.html, default/ markup/render-table.html e shortcodes/youtube.html. Atualize para a versão 0.139.4 ou posterior para resolver totalmente o problema.Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Debian
Hugo