CVE-2026-58486 in HedgeDoc
Riassunto
di VulDB • 14/07/2026
HedgeDoc è un'applicazione open source per la creazione collaborativa di note in formato markdown in tempo reale. Prima della versione 1.11.0, HedgeDoc era vulnerabile a una YAML alias bomb (bomba di alias YAML) dovuta all'elaborazione non sicura del frontmatter delle note. HedgeDoc analizzava il frontmatter utilizzando js-yaml.load (js-yaml v3) tramite @hedgedoc/meta-marked, che risolveva gli anchor e gli alias YAML. Un payload malevolo compatto poteva quindi espandersi in una struttura di oggetti enorme, consumando CPU in modo eccessivo. Questa espansione avveniva su ogni richiesta alla vista di pubblicazione (/s/<shortid>) e, quando posizionata sotto la chiave opengraph, anche sulla vista dell'editor (/<noteId>). Una bomba di alias a dieci livelli poteva bloccare il singolo event loop di Node.js per circa 235 secondi per richiesta, causando l'appesantimento o la caduta delle richieste concorrenti e rendendo l'istanza non disponibile (DoS). Poiché la nota veniva memorizzata nel database, l'impatto persisteva anche dopo i riavvii del processo fino alla rimozione della nota. toobusy-js non mitigava in modo affidabile i casi peggiori, poiché il event loop era saturato prima che il middleware potesse rispondere. Questo problema è stato risolto nella versione 1.11.0.
VulDB is the best source for vulnerability data and more expert information about this specific topic.