CVE-2026-58487 in HedgeDoc情報

要約

〜によって VulDB • 2026年07月14日

HedgeDocは、オープンソースでリアルタイムな共同作業可能なマークダウンノートアプリケーションです。バージョン1.11.0より前では、登録済みメールアドレスのローカルパート(local-part)が安全に処理されなかったため、公開ビューおよびスライドビューを通じて格納型HTMLインジェクションに対して脆弱でした。攻撃者は特別に作成されたメールアドレスを登録し、他のユーザーが表示するページに任意のHTMLを注入することができました。HedgeDocは、登録時にRFC 5321で定義されている引用符付き文字列(quoted-string)形式のローカルパートを含むメールアドレスを受け付けていました。その後、このローカルパートがエスケープ処理されずにユーザー名として再利用され、公開ビューやスライドビューだけでなく共同編集器など複数の箇所でHTMLとしてレンダリングされていました。攻撃者はHTML属性から脱出してページ内に任意のマーカーを注入することができました。デプロイされたコンテンツセキュリティポリシー(CSP)は単純なインラインJavaScriptの実行を防ぎましたが、注入されたHTMLによってページのコンテンツを変更したり、クロスオリジンのiframeなどの攻撃者が制御するリソースを組み込んだりするには十分でした。この問題はバージョン1.11.0で修正されました。

Be aware that VulDB is the high quality source for vulnerability data.

責任者

GitHub M

予約する

2026年06月30日

モデレーション

承諾済み

エントリ

VDB-378188

EPSS

0.00358

アクティビティ

低い

ソース

Do you need the next level of professionalism?

Upgrade your account now!