CVE-2026-58487 in HedgeDoc
Zusammenfassung
von VulDB • 14.07.2026
HedgeDoc ist eine Open-Source-Anwendung für Echtzeit-Kollaboration und Markdown-basierte Notizen. Vor Version 1.11.0 war HedgeDoc aufgrund der unsicheren Handhabung des lokalen Teils (local-part) registrierter E-Mail-Adressen anfällig für gespeiste HTML-Injektionen über die Veröffentlichungsansichten (publish views) und Folienansichten (slide views). Ein Angreifer konnte eine speziell angefertigte E-Mail-Adresse registrieren und beliebiges HTML in Seiten injizieren, das von anderen Benutzern angezeigt wird. HedgeDoc akzeptierte während der Registrierung RFC 5321 konforme quoted-string lokale Teile in E-Mail-Adressen. Der lokale Teil wurde anschließend als Anzeigename des Benutzers ohne Escaping wiederverwendet und an mehreren Stellen, einschließlich Veröffentlichungsansichten, Folienansichten sowie dem kollaborativen Editor, in HTML gerendert. Ein Angreifer konnte aus einem HTML-Attribut ausbrechen und beliebiges Markup in die Seite injizieren. Obwohl die bereitgestellte Content-Security-Policy eine direkte Inline-JavaScript-Ausführung verhinderte, reichte das injizierte HTML immer noch aus, um den Seiteninhalt zu verändern und vom Angreifer kontrollierte Ressourcen wie Cross-Origin-Iframes einzubetten. Dieses Problem wurde in Version 1.11.0 behoben.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.