CVE-2026-58486 in HedgeDoc情報

要約

〜によって VulDB • 2026年07月14日

HedgeDocは、オープンソースのリアルタイム共同作業対応Markdownノートアプリケーションです。バージョン1.11.0より前では、ノートのフロントマター(frontmatter)に対する安全でない処理により、YAMLエイリアス爆弾に対して脆弱性が存在しました。HedgeDocは@hedgedoc/meta-markedを介してjs-yaml.load (js-yaml v3)を使用してフロントマターを解析し、これによってYAMLアンカーのエイリアスが解決されていました。そのため、コンパクトな悪意のあるペイロードが巨大なオブジェクト構造に展開され、過剰なCPUリソースを消費する可能性があります。この展開処理は、公開ビュー(/s/<shortid>)およびopengraphキーの下に配置された場合のエディタビュー(/<noteId>)へのすべてのリクエストで実行されました。10段階のエイリアス爆弾により、単一のNode.jsイベントループがリクエストごとに約235秒間ブロックされ、並列リクエストがハングまたはドロップし、インスタンスの利用不可状態(DoS)を引き起こしました。ノートはデータベースに保存されるため、プロセス再起動後も影響が残存し、ノートの削除まで継続します。toobusy-jsでは、ミドルウェアが応答する前にイベントループがいっぱいになるため、最悪の場合を確実に緩和できませんでした。この問題はバージョン1.11.0で修正されました。

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

責任者

GitHub M

予約する

2026年06月30日

モデレーション

承諾済み

エントリ

VDB-378202

EPSS

0.00235

アクティビティ

低い

ソース

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!