CVE-2026-58486 in HedgeDocالمعلومات

الملخص

بحسب VulDB • 14/07/2026

HedgeDoc هو تطبيق مفتوح المصدر للملاحظات التعاونية في الوقت الفعلي بتنسيق Markdown. قبل الإصدار 1.11.0، كان HedgeDoc عرضة لهجوم "قنبلة الاستشعار YAML" (YAML alias bomb) بسبب المعالجة غير الآمنة لبيانات المقدمة (frontmatter) الخاصة بالملاحظة. كانت HedgeDoc تقوم بتحليل بيانات المقدمة باستخدام `js-yaml.load` (من مكتبة js-yaml الإصدار 3) عبر الحزمة `@hedgedoc/meta-marked`، مما أدى إلى حل استشعارات YAML (YAML anchor aliases). وبالتالي، يمكن أن يتوسع الحمولة الخبيثة المدمجة في هيكل كائن ضخم، مستهلكاً كمية هائلة من وحدة المعالجة المركزية. كان هذا التوسع يحدث مع كل طلب موجه إلى عرض النشر (`/s`)، وعند وضعه تحت المفتاح `opengraph`، فإن عرض المحرر (`/`). يمكن لقنبلة استشعار ذات مستوى عشرة أن تعطل حلقة أحداث Node.js المفردة لمدة تقارب 235 ثانية لكل طلب، مما يتسبب في تعليق أو فقدان الطلبات المتزامنة وجعل المثيل غير متاح (هجوم حجب الخدمة DoS). وبما أنه تم تخزين الملاحظة في قاعدة البيانات، فإن التأثير استمر بعد إعادة تشغيل العملية حتى تتم إزالة الملاحظة. لم تكن الحزمة `toobusy-js` تخفف من أسوأ الحالات بشكل موثوق، حيث كانت حلقة الأحداث مشبعة بالكامل قبل أن تتمكن وسيط البرمجيات (middleware) من الاستجابة. تم إصلاح هذه المشكلة في الإصدار 1.11.0.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

مسؤول

GitHub M

حجز

30/06/2026

إفشاء

14/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-378202

EPSS

0.00235

KEV

لا

النشاطات

منخفض

المصادر

Do you need the next level of professionalism?

Upgrade your account now!