CVE-2026-35166 CVSS 5.4 中危

CVE-2026-35166 Hugo Markdown链接转义缺失导致XSS漏洞

披露日期: 2026-04-06

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-35166

漏洞类型

跨站脚本 (XSS)

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Hugo

漏洞概述

Hugo静态站点生成器在0.60.0至0.159.2之前的版本中存在安全漏洞。默认的Markdown到HTML渲染器未正确转义链接和图片链接，可能导致跨站脚本攻击。攻击者可通过诱导用户点击恶意构造的链接利用该漏洞。

技术细节

该漏洞源于Hugo默认的Markdown渲染器在处理特定格式的链接和图片链接时，未对输出进行充分的HTML实体转义。攻击者可以构造包含恶意JavaScript代码的Markdown链接（例如使用javascript:伪协议）。当Hugo构建站点时，这些恶意内容会被直接输出到最终的HTML页面中。由于漏洞需要用户交互（UI:R），受害者通常需要点击或悬停在受影响的链接上才会触发攻击，从而导致会话劫持或恶意重定向。

攻击链分析

STEP 1

步骤1

攻击者构造包含恶意JavaScript代码的Markdown链接载荷（如javascript:alert(1)）。

STEP 2

步骤2

攻击者将包含恶意载荷的Markdown内容提交到目标Hugo网站（如通过评论、文章提交）。

STEP 3

步骤3

Hugo服务器构建静态页面时，默认渲染器未转义这些链接，生成包含恶意HTML的页面。

STEP 4

步骤4

受害者访问该页面，并点击或悬停在链接上（满足UI:R用户交互条件）。

STEP 5

步骤5

浏览器解析恶意链接，执行JavaScript代码，导致XSS攻击成功。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC for CVE-2026-35166
# Malicious Markdown content to be rendered by Hugo

# Example 1: XSS via javascript protocol in link
[Click Me](javascript:alert('CVE-2026-35166'))

# Example 2: XSS via image link
[![Image](javascript:alert('CVE-2026-35166'))](http://example.com)

影响范围

Hugo >= 0.60.0, < 0.159.2

防御指南

临时缓解措施

如果无法立即升级，建议用户实施自定义的渲染钩子来替换默认的链接和图片渲染逻辑，确保所有输出的URL都经过白名单验证或HTML实体编码。同时，应限制对不可信Markdown内容的渲染和展示。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表