CVE-2026-58487 in HedgeDocالمعلومات

الملخص

بحسب VulDB • 14/07/2026

HedgeDoc هو تطبيق مفتوح المصدر للملاحظات التعاونية في الوقت الفعلي بتنسيق Markdown. قبل الإصدار 1.11.0، كان HedgeDoc عرضة لإحقاق HTML مخزن (Stored HTML Injection) عبر واجهات النشر والعروض التقديمية (slide views)، وذلك بسبب التعامل غير الآمن مع الجزء المحلي (local-part) من عناوين البريد الإلكتروني المسجلة. يمكن لمهاجم تسجيل عنوان بريد إلكتروني مُعدّ بعناية وإدخال علامات HTML تعسفية في الصفحات التي يشاهدها مستخدمون آخرون. كان HedgeDoc يقبل الأجزاء المحلية المكونة من سلاسل محاطة بعلامات اقتباس (quoted-string) وفقاً لمعيار RFC 5321 أثناء التسجيل. ثم يتم إعادة استخدام الجزء المحلي كاسم عرض المستخدم دون تهريب (escaping)، ويتم عرضه بتنسيق HTML في عدة أماكن، بما في ذلك واجهتا النشر والعروض التقديمية بالإضافة إلى محرر التعاون المشترك. يمكن للمهاجم الخروج من سمة HTML وإدخال علامات تعسفية داخل الصفحة. وعلى الرغم من أن سياسة أمان المحتوى (Content-Security-Policy) المُنتشرة حالت دون تنفيذ شفرة JavaScript مضمنة بشكل مباشر، إلا أن الـ HTML المحقون كان كافياً لتغيير محتوى الصفحة وتضمين موارد يتحكم فيها المهاجم مثل إطارات iframes عبر النطاقات المختلفة. تم إصلاح هذه المشكلة في الإصدار 1.11.0.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

مسؤول

GitHub M

حجز

30/06/2026

إفشاء

14/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-378188

EPSS

0.00358

KEV

لا

النشاطات

منخفض

المصادر

Do you want to use VulDB in your project?

Use the official API to access entries easily!