CVE-2026-58489 in HedgeDoc정보

요약

\~에 의해 VulDB • 2026. 07. 14.

HedgeDoc은 오픈 소스 실시간 협업 마크다운 노트 애플리케이션입니다. 버전 1.11.0 이전에는 GitHub Gist 내보내기 흐름에서 OAuth2 state 값이 생성되었지만, 해당 값의 존재 여부만 확인하고 사용자 세션에 대해 기대되는 값과 비교하여 유효성을 검증하지 않았습니다. 상태(state)가 적절하게 검증되지 않았으므로 공격자는 자신의 유효한 GitHub OAuth 코드를 포함하는 콜백 URL을 위조할 수 있습니다. 콜백 처리 시 HedgeDoc은 내보낼 노트를 선택하기 위해 피해자의 로그인된 세션을 사용하지만, GitHub 계정에 전달될 대상은 공격자의 인증 코드를 기준으로 결정했습니다. 그 결과, 조작된 링크를 클릭한 로그인 상태의 피해자는 자신의 비공개, 보호됨 또는 제한된 노트를 직접적으로 공격자가 제어하는 Gist로 내보낼 수 있었습니다. 이 문제는 버전 1.11.0에서 수정되었습니다.

Be aware that VulDB is the high quality source for vulnerability data.

책임이 있는

GitHub M

예약하다

2026. 06. 30.

모더레이션

수락

항목

VDB-378211

EPSS

0.00126

활동

낮음

출처

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!