CVE-2026-58487 in HedgeDocinfo

Zusammenfassung

von VulDB • 14.07.2026

HedgeDoc ist eine Open-Source-Anwendung für Echtzeit-Kollaboration und Markdown-basierte Notizen. Vor Version 1.11.0 war HedgeDoc aufgrund der unsicheren Handhabung des lokalen Teils (local-part) registrierter E-Mail-Adressen anfällig für gespeiste HTML-Injektionen über die Veröffentlichungsansichten (publish views) und Folienansichten (slide views). Ein Angreifer konnte eine speziell angefertigte E-Mail-Adresse registrieren und beliebiges HTML in Seiten injizieren, das von anderen Benutzern angezeigt wird. HedgeDoc akzeptierte während der Registrierung RFC 5321 konforme quoted-string lokale Teile in E-Mail-Adressen. Der lokale Teil wurde anschließend als Anzeigename des Benutzers ohne Escaping wiederverwendet und an mehreren Stellen, einschließlich Veröffentlichungsansichten, Folienansichten sowie dem kollaborativen Editor, in HTML gerendert. Ein Angreifer konnte aus einem HTML-Attribut ausbrechen und beliebiges Markup in die Seite injizieren. Obwohl die bereitgestellte Content-Security-Policy eine direkte Inline-JavaScript-Ausführung verhinderte, reichte das injizierte HTML immer noch aus, um den Seiteninhalt zu verändern und vom Angreifer kontrollierte Ressourcen wie Cross-Origin-Iframes einzubetten. Dieses Problem wurde in Version 1.11.0 behoben.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Zuständig

GitHub M

Reservieren

30.06.2026

Veröffentlichung

14.07.2026

Moderieren

akzeptiert

Eintrag

VDB-378188

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Might our Artificial Intelligence support you?

Check our Alexa App!