静的サイトジェネレーターのHugoに、5件の脆弱性(CVE:共通脆弱性識別子)が公表されました。影響範囲と修正版、CVEの一覧をまとめて確認できるように整理します。
Hugoの複数脆弱性 3行まとめ
今回公表された脆弱性の要点を、先に3点にまとめました。
- Hugoに5件の脆弱性が公表
- 修正版0.162.0・0.163.1・0.163.3が公開済み
- 対象バージョンの利用者は一覧を確認し最新版への更新を推奨
本記事の確認・更新手順は一般的な例です。実際の対応は、利用している構成や依存関係、権限設定、運用ルールによって異なります。
作業の前に必ずバックアップを取得し、検証環境で影響を確認したうえで、各自の責任で実施してください。
影響を受けるHugoのバージョンと修正版
今回の脆弱性は、CVEごとに影響するバージョンと修正版が異なります。下の表で対象範囲を確認できます。
| CVE番号 | 影響を受けるバージョン | 修正版 |
|---|---|---|
CVE-2026-50133 |
0.162.0未満 | 0.162.0 |
CVE-2026-50134 |
0.91.0以上0.162.0未満 | 0.162.0 |
CVE-2026-58402 |
0.60.0以上0.163.3未満 | 0.163.3 |
CVE-2026-58403 |
0.123.0以上0.163.1未満 | 0.163.1 |
CVE-2026-58404 |
0.162.0以上0.163.1未満 | 0.163.1 |
Hugoで公表された脆弱性一覧(CVE 5件)
今回公表された5件のCVEを一覧にまとめました。種類はCWE(脆弱性タイプの分類)、深刻度はCVSS(深刻度の評価指標)で示し、値は評価主体により異なる場合があります。
| CVE番号 | 深刻度(CVSS) | 種類 | 概要 |
|---|---|---|---|
CVE-2026-50133 |
JVNDB=6.1(Medium)/ベンダ公式=5.1(Medium) | CWE-79 | クロスサイトスクリプティング |
CVE-2026-50134 |
JVNDB=5.8(Medium)/ベンダ公式=6.3(Medium) | CWE-918 | サーバサイドのリクエストフォージェリ |
CVE-2026-58402 |
JVNDB=5.4(Medium)/ベンダ公式=5.1(Medium) | CWE-79 | クロスサイトスクリプティング |
CVE-2026-58403 |
JVNDB=6.5(Medium)/ベンダ公式=5.9(Medium) | CWE-59 | シンボリックリンク越しのアクセス |
CVE-2026-58404 |
JVNDB=6.8(Medium)/ベンダ公式=4.6(Medium) | CWE-918 | サーバサイドのリクエストフォージェリ |
Hugoを修正版へ更新する対応手順
対象バージョンを利用している場合の対応を、優先度の高い順にまとめました。
- 手元で
hugo versionを実行して利用中のバージョンを表示し、上記の一覧と照合して影響範囲に含まれるかを確認する(このコマンドは表示のみで、変更は加えません) - 影響を受けるコンポーネントや機能を実際に使用しているかを、各CVEの公式アドバイザリ(References参照)と自サイトの設定を照合して確認する
- 5件すべてに対応するため最新の修正版
0.163.3へ更新する - 直ちに更新できない場合は各公式アドバイザリで回避策の有無を確認する
修正版はCVEごとに分かれるため、古い修正版のままでは一部の脆弱性が残る場合があります。
trends編集部の一言
同一製品で複数のCVEが同時に公表される場合でも、最新の修正版へ更新すればまとめて対応できることが多いです。まずはビルド環境やCI、依存関係に含まれるか、影響コンポーネントを使っているかの確認から始めると、対応の優先度を判断しやすくなるはずです。
References
- ^ JVNDB. 「GoHugoのHugoにおけるクロスサイトスクリプティングの脆弱性」. https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-022909.html, (参照 26-07-10).
- ^ JVNDB. 「GoHugoのHugoにおけるサーバサイドのリクエストフォージェリの脆弱性」. https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-022908.html, (参照 26-07-10).
- ^ JVNDB. 「GoHugoのHugoにおけるクロスサイトスクリプティングの脆弱性」. https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-022789.html, (参照 26-07-10).
- ^ JVNDB. 「GoHugoのHugoにおけるリンク解釈に関する脆弱性」. https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-022788.html, (参照 26-07-10).
- ^ JVNDB. 「GoHugoのHugoにおけるサーバサイドのリクエストフォージェリの脆弱性」. https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-022787.html, (参照 26-07-10).
- ^ ベンダ公式. 「Hugo セキュリティ情報」. https://github.com/gohugoio/hugo/security/advisories/GHSA-c54g-xjwj-8g82, (参照 26-07-10).
- ^ ベンダ公式. 「Hugo セキュリティ情報」. https://github.com/gohugoio/hugo/security/advisories/GHSA-vxgm-5rmg-5w8g, (参照 26-07-10).
- ^ ベンダ公式. 「Hugo セキュリティ情報」. https://github.com/gohugoio/hugo/security/advisories/GHSA-q76j-gcg9-vxc6, (参照 26-07-10).
※本記事は一次情報(JVNDB・ベンダ公式)を基に編集しています。内容はAIで確認していますが、誤りや最新情報との差異がある場合はコメントよりご報告ください。
※上記コンテンツの内容やソースコードはAIで確認・デバッグしておりますが、間違いやエラー、脆弱性などがある場合は、コメントよりご報告いただけますと幸いです。
ITやプログラミングに関するコラム
【Git】remote設定を変更する方法
【VBA】コメントアウトを設定する方法
マークダウンで改行する方法
【CSS】notで複数の件を除外する方法
x86とx64の違いを分かりやすく解説
GitLabとGitHubの違いを解説
パソコンのメモリの目安を用途別に選ぶ方法
Linuxで環境変数を確認する方法
CapsLockキーを解除する方法
UbuntuのIPアドレスを確認する方法
ITやプログラミングに関するニュース
Apache Camelに深刻度Criticalを含む17件の脆弱性が公表、修正版への更新で対応が必要に
Hugoに5件の脆弱性が公表、修正版0.163.3への更新でまとめて対応可能に
Python Pillowに5件の脆弱性が公表、修正版12.3.0への更新で対応可能に
radare2に4件の脆弱性が公表、修正版6.1.8への更新でまとめて対応可能に
vLLMに4件の脆弱性が公表、修正版0.24.0への更新で対応が可能に
Crawl4AIに3件の脆弱性が公表、修正版0.9.0への更新でまとめて対応が可能に
Apache IoTDBに3件の脆弱性が公表、修正版2.0.8への更新で対応が必要に
pnpmにパストラバーサル脆弱性3件が公表、修正版への更新で対応が必要に
traefikに3件の脆弱性が公表、修正版への更新で対応が必要に
GitHub Copilotがリポジトリ概要機能を一般提供、初めて開くリポジトリの目的や使用技術を即把握
