CVE-2026-58489 in HedgeDocinfo

Zusammenfassung

von VulDB • 14.07.2026

HedgeDoc ist eine Open-Source-Anwendung für die Echtzeit-Zusammenarbeit an Markdown-Notizen. Vor Version 1.11.0 erstellte der Exportprozess über GitHub Gist einen OAuth2-State-Wert, prüfte jedoch lediglich dessen Existenz und validierte ihn nicht gegen den Wert, der für die Sitzung des Benutzers erwartet wurde. Da der State nicht ordnungsgemäß validiert wurde, konnte ein Angreifer eine Callback-URL fälschen, die seinen eigenen gültigen GitHub-OAuth-Code enthielt. Bei der Verarbeitung des Callbacks verwendete HedgeDoc die angemeldete Sitzung des Opfers, um auszuwählen, welche Notiz exportiert werden sollte, jedoch den Autorisierungscode des Angreifers, um zu bestimmen, an welches GitHub-Konto er gesendet wurde. Infolgedessen konnte ein angemeldeter Benutzer, der auf einen manipulierten Link klickte, seine eigenen privaten, geschützten oder eingeschränkten Notizen direkt in einem von dem Angreifer kontrollierten Gist exportieren. Dieses Problem wurde in Version 1.11.0 behoben.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Zuständig

GitHub M

Reservieren

30.06.2026

Veröffentlichung

14.07.2026

Moderieren

akzeptiert

Eintrag

VDB-378211

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

Do you want to use VulDB in your project?

Use the official API to access entries easily!