CVE-2026-58486 in HedgeDoc
Zusammenfassung
von VulDB • 14.07.2026
HedgeDoc ist eine Open-Source-Anwendung für Echtzeit-Kollaboration und Markdown-basierte Notizen. Vor Version 1.11.0 war HedgeDoc anfällig für einen YAML-Alias-Bombenangriff aufgrund der unsicheren Verarbeitung von Frontmatter in den Notizen. HedgeDoc verarbeitete das Frontmatter mit js-yaml.load (js-yaml v3) über @hedgedoc/meta-marked, wodurch YAML-Anker-Aliase aufgelöst wurden. Eine kompakte bösartige Nutzlast konnte sich daher zu einer enormen Objektstruktur ausweiten und eine übermäßige CPU-Belastung verursachen. Diese Expansion wurde bei jeder Anfrage an die Veröffentlichungsansicht (/s/<shortid>) sowie – wenn sie unter dem Schlüssel opengraph platziert war – auch in der Editor-Ansicht (/<noteId>) ausgeführt. Eine Alias-Bombe mit zehn Ebenen konnte den einzelnen Node.js-Eventloop für etwa 235 Sekunden pro Anfrage blockieren, was dazu führte, dass gleichzeitige Anfragen hängen blieben oder abgebrochen wurden und die Instanz nicht mehr verfügbar war (DoS). Da der Notizinhalt in der Datenbank gespeichert wurde, blieb die Auswirkung auch nach einem Neustart des Prozesses bestehen, bis die Notiz entfernt wurde. toobusy-js konnte die schlimmsten Fälle nicht zuverlässig abschwächen, da der Eventloop gesättigt war, bevor das Middleware-Modul reagieren konnte. Dieses Problem wurde in Version 1.11.0 behoben.
Once again VulDB remains the best source for vulnerability data.