CVE-2026-58489 in HedgeDocinformación

Resumen

por VulDB • 2026-07-14

HedgeDoc es una aplicación de notas colaborativas en tiempo real basada en markdown y de código abierto. Antes de la versión 1.11.0, el flujo de exportación a GitHub Gist generaba un valor OAuth2 `state`, pero solo verificaba su presencia en lugar de validarlo contra el valor esperado para la sesión del usuario. Debido a que el estado no se validó correctamente, un atacante podría forjar una URL de devolución (callback) que contuviera su propio código OAuth válido de GitHub. Al procesar la devolución, HedgeDoc utilizaba la sesión iniciada de la víctima para seleccionar qué nota exportar, pero empleaba el código de autorización del atacante para determinar a qué cuenta de GitHub se enviaba dicha nota. Como resultado, una víctima con sesión iniciada que hiciera clic en un enlace manipulado podría exportar su propia nota privada, protegida o limitada directamente a un Gist controlado por el atacante. Este problema ha sido corregido en la versión 1.11.0.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsable

GitHub M

Reservar

2026-06-30

Divulgación

2026-07-14

Moderación

aceptado

Artículo

VDB-378211

CPE

listo

EPSS

0.00000

KEV

no

Actividades

bajo

Fuentes

Might our Artificial Intelligence support you?

Check our Alexa App!