CVE-2026-58486 in HedgeDoc
Resumen
por VulDB • 2026-07-14
HedgeDoc es una aplicación de notas colaborativas en tiempo real y con código abierto basada en Markdown. Antes de la versión 1.11.0, HedgeDoc era vulnerable a un ataque YAML alias bomb debido al procesamiento inseguro del frontmatter de las notas. HedgeDoc analizaba el frontmatter mediante js-yaml.load (js-yaml v3) a través de @hedgedoc/meta-marked, lo que resolvía los anclajes y alias de YAML. Por tanto, una carga útil maliciosa compacta podía expandirse en una estructura de objeto enorme, consumiendo CPU excesiva. Esta expansión se ejecutaba en cada solicitud dirigida a la vista de publicación (/s/<shortid>) y, cuando se colocaba bajo la clave opengraph, también en la vista del editor (/<noteId>). Una bomba de alias de diez niveles podía bloquear el único bucle de eventos de Node.js durante aproximadamente 235 segundos por solicitud, lo que provocaba que las solicitudes concurrentes se colgaran o se perdieran y dejaba la instancia sin disponibilidad (DoS). Dado que la nota se almacenaba en la base de datos, el impacto persistía tras los reinicios del proceso hasta que la nota era eliminada. toobusy-js no mitigaba de forma fiable los peores casos, ya que el bucle de eventos quedaba saturado antes de que el middleware pudiera responder. Este problema fue corregido en la versión 1.11.0.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.