CVE-2026-58489 in HedgeDoc情報

要約

〜によって VulDB • 2026年07月14日

HedgeDocは、オープンソースのリアルタイム共同編集可能なマークダウンノートアプリケーションです。バージョン1.11.0より前では、GitHub Gistへのエクスポート処理においてOAuth2 state値が生成されていましたが、その存在のみが確認され、ユーザーセッションに対して期待される値との検証が行われていませんでした。state値が適切に検証されていないため、攻撃者は自身の有効なGitHub OAuthコードを含むコールバックURLを偽造できました。コールバックの処理時にHedgeDocは被害者のログイン済みセッションを使用してエクスポート対象のノートを選択しましたが、どのGitHubアカウントへ送信するかについては攻撃者の認証コードに基づいて決定されました。その結果、作成されたリンクをクリックしたログイン中の被害者は、自身のプライベート、保護済み、または制限付きのノートを直接、攻撃者が制御するGistにエクスポートすることになってしまいました。この問題はバージョン1.11.0で修正されています。

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

責任者

GitHub M

予約する

2026年06月30日

モデレーション

承諾済み

エントリ

VDB-378211

EPSS

0.00000

アクティビティ

低い

ソース

Interested in the pricing of exploits?

See the underground prices here!