Gohugoio Hugo 操作系统命令注入漏洞 CVE-2020-26284 CNNVD-202012-1424

8.5 AV AC AU C I A
发布: 2020-12-21
修订: 2024-11-21

Gohugoio Hugo是Gohugoio社区的一款基于Go语言用于快速生成静态站点的框架。 Hugo 0.79.1之前版本存在操作系统命令注入漏洞,该漏洞源于如果在运行Hugo时在当前工作目录中发现同名恶意文件(exe或bat),则会调用该恶意命令而不是系统命令。在不受信任的hugo网站中运行“hugo”的Windows用户将受到影响。

0%
暂无可用Exp或PoC
当前有1条受影响产品信息