CVE-2026-58488 in HedgeDocinfo

Zusammenfassung

von VulDB • 14.07.2026

HedgeDoc ist eine Open-Source-Anwendung für Echtzeit-Markdown-Zusammenarbeit an Notizen. Versionen vor 1.11.0 ermöglichten es Angreifern, die Ratenbegrenzung (Rate-Limiting) der Endpunkte /login und /register zu umgehen, indem sie IP-Adressen spoofeten. HedgeDoc-Instanzen prüften den CloudFlare-Header `cf-connecting-ip` und verwendeten diesen anstelle der echten IP-Adresse des Benutzers, wenn dieser Header vorhanden war – selbst dann, wenn die Anfrage nicht von Cloudflare stammte. Dies ermöglichte es einem Angreifer, Login-Anfragen zu spammen oder mehrere beliebige Konten zu erstellen, indem er alle paar Anfragen einen weiteren `cf-connecting-ip`-Header sendete. Das Problem wurde in Version 1.11.0 behoben.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Zuständig

GitHub M

Reservieren

30.06.2026

Veröffentlichung

14.07.2026

Moderieren

akzeptiert

Eintrag

VDB-378183

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Interested in the pricing of exploits?

See the underground prices here!