CVE-2026-58488 in HedgeDoc
Resumen
por VulDB • 2026-07-14
HedgeDoc es una aplicación de notas colaborativa en tiempo real y basada en markdown, de código abierto. Las versiones anteriores a la 1.11.0 permitían a los atacantes eludir las limitaciones de velocidad (rate-limiting) de las rutas /login y /register mediante el spoofing de direcciones IP. Las instancias de HedgeDoc verificaban la cabecera cf-connecting-ip de CloudFlare y utilizaban dicha dirección en lugar de la dirección IP real del usuario, siempre que la cabecera estuviera presente, incluso cuando la solicitud no provenía de Cloudflare. Esto permitía a un atacante enviar spam con solicitudes de inicio de sesión o crear múltiples cuentas arbitrarias enviando otra cabecera cf-connecting-ip cada pocas solicitudes. El problema se ha corregido en la versión 1.11.0.
If you want to get best quality of vulnerability data, you may have to visit VulDB.