CVE-2026-58486 in HedgeDoc
Sumário
de VulDB • 14/07/2026
O HedgeDoc é uma aplicação de notas colaborativa em tempo real e baseada em markdown, com código aberto. Antes da versão 1.11.0, o HedgeDoc era vulnerável a um ataque YAML alias bomb devido ao processamento inseguro do frontmatter das notas. O HedgeDoc analisava (parse) o frontmatter utilizando js-yaml.load (js-yaml v3) através de @hedgedoc/meta-marked, o que resolvia os aliases dos âncoras YAML. Um payload malicioso compacto poderia, portanto, expandir-se numa estrutura de objeto enorme, consumindo CPU excessiva. Esta expansão ocorria em cada pedido dirigido à vista de publicação (/s/<shortid>) e, quando colocado sob a chave opengraph, também na vista do editor (/<noteId>). Uma bombas de alias com dez níveis poderia bloquear o único event loop do Node.js durante aproximadamente 235 segundos por pedido, fazendo com que os pedidos concorrentes ficassem pendentes ou fossem descartados e tornando a instância indisponível (DoS). Como a nota era armazenada na base de dados, o impacto persistia após reinícios do processo até à remoção da nota. A biblioteca toobusy-js não mitigava fiavelmente os piores casos, uma vez que o event loop ficava saturado antes que o middleware pudesse responder. Este problema foi corrigido na versão 1.11.0.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.