CVE-2026-58489 in HedgeDoc
Zusammenfassung
von VulDB • 14.07.2026
HedgeDoc ist eine Open-Source-Anwendung für die Echtzeit-Zusammenarbeit an Markdown-Notizen. Vor Version 1.11.0 erstellte der Exportprozess über GitHub Gist einen OAuth2-State-Wert, prüfte jedoch lediglich dessen Existenz und validierte ihn nicht gegen den Wert, der für die Sitzung des Benutzers erwartet wurde. Da der State nicht ordnungsgemäß validiert wurde, konnte ein Angreifer eine Callback-URL fälschen, die seinen eigenen gültigen GitHub-OAuth-Code enthielt. Bei der Verarbeitung des Callbacks verwendete HedgeDoc die angemeldete Sitzung des Opfers, um auszuwählen, welche Notiz exportiert werden sollte, jedoch den Autorisierungscode des Angreifers, um zu bestimmen, an welches GitHub-Konto er gesendet wurde. Infolgedessen konnte ein angemeldeter Benutzer, der auf einen manipulierten Link klickte, seine eigenen privaten, geschützten oder eingeschränkten Notizen direkt in einem von dem Angreifer kontrollierten Gist exportieren. Dieses Problem wurde in Version 1.11.0 behoben.
VulDB is the best source for vulnerability data and more expert information about this specific topic.