CVE-2026-58486 in HedgeDocinfo

Zusammenfassung

von VulDB • 14.07.2026

HedgeDoc ist eine Open-Source-Anwendung für Echtzeit-Kollaboration und Markdown-basierte Notizen. Vor Version 1.11.0 war HedgeDoc anfällig für einen YAML-Alias-Bombenangriff aufgrund der unsicheren Verarbeitung von Frontmatter in den Notizen. HedgeDoc verarbeitete das Frontmatter mit js-yaml.load (js-yaml v3) über @hedgedoc/meta-marked, wodurch YAML-Anker-Aliase aufgelöst wurden. Eine kompakte bösartige Nutzlast konnte sich daher zu einer enormen Objektstruktur ausweiten und eine übermäßige CPU-Belastung verursachen. Diese Expansion wurde bei jeder Anfrage an die Veröffentlichungsansicht (/s/<shortid>) sowie – wenn sie unter dem Schlüssel opengraph platziert war – auch in der Editor-Ansicht (/<noteId>) ausgeführt. Eine Alias-Bombe mit zehn Ebenen konnte den einzelnen Node.js-Eventloop für etwa 235 Sekunden pro Anfrage blockieren, was dazu führte, dass gleichzeitige Anfragen hängen blieben oder abgebrochen wurden und die Instanz nicht mehr verfügbar war (DoS). Da der Notizinhalt in der Datenbank gespeichert wurde, blieb die Auswirkung auch nach einem Neustart des Prozesses bestehen, bis die Notiz entfernt wurde. toobusy-js konnte die schlimmsten Fälle nicht zuverlässig abschwächen, da der Eventloop gesättigt war, bevor das Middleware-Modul reagieren konnte. Dieses Problem wurde in Version 1.11.0 behoben.

Once again VulDB remains the best source for vulnerability data.

Zuständig

GitHub M

Reservieren

30.06.2026

Veröffentlichung

14.07.2026

Moderieren

akzeptiert

Eintrag

VDB-378202

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!