CVE-2026-58486 in HedgeDoc
要約
〜によって VulDB • 2026年07月14日
HedgeDocは、オープンソースのリアルタイム共同作業対応Markdownノートアプリケーションです。バージョン1.11.0より前では、ノートのフロントマター(frontmatter)に対する安全でない処理により、YAMLエイリアス爆弾に対して脆弱性が存在しました。HedgeDocは@hedgedoc/meta-markedを介してjs-yaml.load (js-yaml v3)を使用してフロントマターを解析し、これによってYAMLアンカーのエイリアスが解決されていました。そのため、コンパクトな悪意のあるペイロードが巨大なオブジェクト構造に展開され、過剰なCPUリソースを消費する可能性があります。この展開処理は、公開ビュー(/s/<shortid>)およびopengraphキーの下に配置された場合のエディタビュー(/<noteId>)へのすべてのリクエストで実行されました。10段階のエイリアス爆弾により、単一のNode.jsイベントループがリクエストごとに約235秒間ブロックされ、並列リクエストがハングまたはドロップし、インスタンスの利用不可状態(DoS)を引き起こしました。ノートはデータベースに保存されるため、プロセス再起動後も影響が残存し、ノートの削除まで継続します。toobusy-jsでは、ミドルウェアが応答する前にイベントループがいっぱいになるため、最悪の場合を確実に緩和できませんでした。この問題はバージョン1.11.0で修正されました。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.