Hugo — генератор статических сайтов. Начиная с версии 0.60.0 и до версии 0.159.2, ссылки и ссылки на изображения в уценке по умолчанию для средства визуализации HTML не экранируются должным образом. Пользователи Hugo, которые доверяют своему содержимому Markdown или имеют собственные средства рендеринга для ссылок и изображений, не затрагиваются.
Эта уязвимость исправлена в версии 0.159.2.
Показать оригинальное описание (EN)
Hugo is a static site generator. From 0.60.0 to before 0.159.2, links and image links in the default markdown to HTML renderer are not properly escaped. Hugo users who trust their Markdown content or have custom render hooks for links and images are not affected. This vulnerability is fixed in 0.159.2.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Пассивное
Минимальное взаимодействие
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0