CVE-2026-58489 in HedgeDocالمعلومات

الملخص

بحسب VulDB • 15/07/2026

HedgeDoc هو تطبيق مفتوح المصدر للملاحظات التعاونية في الوقت الفعلي بتنسيق Markdown. قبل الإصدار 1.11.0، كانت عملية تصدير ملاحظات GitHub Gist تنشئ قيمة حالة OAuth2 (state) ولكنها تتحقق فقط من وجودها بدلاً من التحقق منها مقابل القيمة المتوقعة لجلسة المستخدم. ونظراً لعدم التحقق بشكل صحيح من صحة الحالة، كان بإمكان مهاجم تزوير عنوان URL للمكالمة العكسية يحتوي على رمز OAuth صالح خاص به من GitHub. وعند معالجة المكالمة العكسية، استخدم HedgeDoc جلسة تسجيل الدخول النشطة للضحية لتحديد الملاحظة المراد تصديرها، لكنه استخدم رمز التفويض الخاص بالمهاجم لتحديد حساب GitHub الذي سيستقبل البيانات. ونتيجة لذلك، كان بإمكان ضحية مسجلة الدخول والتي نقرت على رابط مُعدّ خصيصاً أن تقوم بتصدير ملاحظتها الخاصة أو المحمية أو ذات الصلاحيات المحدودة مباشرة إلى Gist يتحكم فيه المهاجم. تم إصلاح هذه المشكلة في الإصدار 1.11.0.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

مسؤول

GitHub M

حجز

30/06/2026

إفشاء

14/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-378211

EPSS

0.00126

KEV

لا

النشاطات

منخفض

المصادر

Might our Artificial Intelligence support you?

Check our Alexa App!