| Title | GoHugoのHugoにおけるパストラバーサルの脆弱性 |
|---|---|
| Summary | Hugoは静的サイトジェネレーターです。バージョン0.43から0.161.0未満の間、Nodeベースのアセットパイプライン(PostCSS、Babel、TailwindCSS)を使用するHugoサイトをビルドする際に、Hugoはファイルシステムアクセスの制限なしに設定されたNodeツールを呼び出していました。その結果、信頼できないサイトに対してhugoを実行すると、これらのツールを介して実行されるコードがプロジェクトの作業ディレクトリ外のファイルを読み書きできる可能性がありました。PostCSS、Babel、TailwindCSSを使用していないユーザーや信頼できるサイトのみをビルドするユーザーは影響を受けません。この脆弱性はバージョン0.161.0で修正されました。 |
| Possible impacts | 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | May 12, 2026, midnight |
| Registration Date | May 25, 2026, 10:19 a.m. |
| Last Update | May 25, 2026, 10:19 a.m. |
| CVSS3.0 : 重要 | |
| Score | 8.1 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N |
| GoHugo |
| Hugo 0.43 以上 0.161.0 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年05月25日] 掲載 |
May 25, 2026, 10:19 a.m. |
| Summary | Hugo is a static site generator. From 0.43 to before 0.161.0, when building a Hugo site that uses Node-based asset pipelines (PostCSS, Babel, TailwindCSS), Hugo invoked the configured Node tools without restrictions on file system access. As a result, executing hugo against an untrusted site could allow code running through these tools to read or write files outside the project's working directory. Users who do not use PostCSS, Babel, or TailwindCSS, or who only build trusted sites, are not affected. This vulnerability is fixed in 0.161.0. |
|---|---|
| Publication Date | May 13, 2026, 7:16 a.m. |
| Registration Date | May 15, 2026, 4:19 a.m. |
| Last Update | May 14, 2026, 3:14 a.m. |