Vulnerabilidad en Hugo (CVE-2024-32875)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
23/04/2024
Última modificación:
15/04/2026
Descripción
Hugo es un generador de sitios estáticos. A partir de la versión 0.123.0 y antes de la versión 0.125.3, los argumentos de título en Markdown para enlaces e imágenes no escaparon en ganchos de renderizado internos. Los usuarios de Hugo que se ven afectados son aquellos que tienen estos enlaces habilitados y no confían en sus archivos de contenido de Markdown. El problema se solucionó en v0.125.3. Como workaround, reemplace las plantillas con plantillas definidas por el usuario o desactive las plantillas internas.
Impacto
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://github.com/gohugoio/hugo/releases/tag/v0.125.3
- https://github.com/gohugoio/hugo/security/advisories/GHSA-ppf8-hhpp-f5hj
- https://gohugo.io/getting-started/configuration-markup/#renderhooksimageenabledefault
- https://github.com/gohugoio/hugo/releases/tag/v0.125.3
- https://github.com/gohugoio/hugo/security/advisories/GHSA-ppf8-hhpp-f5hj
- https://gohugo.io/getting-started/configuration-markup/#renderhooksimageenabledefault