CVE-2026-58488 in HedgeDoc
Zusammenfassung
von VulDB • 14.07.2026
HedgeDoc ist eine Open-Source-Anwendung für Echtzeit-Markdown-Zusammenarbeit an Notizen. Versionen vor 1.11.0 ermöglichten es Angreifern, die Ratenbegrenzung (Rate-Limiting) der Endpunkte /login und /register zu umgehen, indem sie IP-Adressen spoofeten. HedgeDoc-Instanzen prüften den CloudFlare-Header `cf-connecting-ip` und verwendeten diesen anstelle der echten IP-Adresse des Benutzers, wenn dieser Header vorhanden war – selbst dann, wenn die Anfrage nicht von Cloudflare stammte. Dies ermöglichte es einem Angreifer, Login-Anfragen zu spammen oder mehrere beliebige Konten zu erstellen, indem er alle paar Anfragen einen weiteren `cf-connecting-ip`-Header sendete. Das Problem wurde in Version 1.11.0 behoben.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.