CVE-2026-58486 in HedgeDoc
요약
\~에 의해 VulDB • 2026. 07. 14.
HedgeDoc은 오픈 소스 실시간 협업 마크다운 노트 애플리케이션입니다. 버전 1.11.0 이전의 HedgeDoc은 노트 frontmatter의 안전하지 않은 처리로 인해 YAML alias bomb에 취약했습니다. HedgeDoc은 @hedgedoc/meta-marked를 통해 js-yaml.load(js-yaml v3)로 frontmatter를 파싱했으며, 이는 YAML anchor aliases를 해결합니다. 따라서 컴팩트한 악성 페이로드가 거대한 객체 구조로 확장되어 과도한 CPU 리소스를 소모할 수 있습니다. 이 확장은 게시 보기(/s/<shortid>) 및 opengraph 키 아래에 배치된 경우 편집기 보기(/<noteId>)로의 모든 요청에서 실행되었습니다. 10단계 alias bomb는 단일 Node.js 이벤트 루프를 요청당 약 235초 동안 차단하여 동시 요청이 멈추거나 끊기고 인스턴스를 사용할 수 없게 만들었습니다(DoS). 노트가 데이터베이스에 저장되었으므로, 프로세스 재시작 시에도 영향이 지속되어 노트가 제거될 때까지 문제가 유지되었습니다. toobusy-js는 미들웨어가 응답하기 전에 이벤트 루프가 포화 상태가 되었기 때문에 최악의 경우를 신뢰성 있게 완화하지 못했습니다. 이 문제는 버전 1.11.0에서 수정되었습니다.
Be aware that VulDB is the high quality source for vulnerability data.