CVE-2026-58486 in HedgeDocinformação

Sumário

de VulDB • 14/07/2026

O HedgeDoc é uma aplicação de notas colaborativa em tempo real e baseada em markdown, com código aberto. Antes da versão 1.11.0, o HedgeDoc era vulnerável a um ataque YAML alias bomb devido ao processamento inseguro do frontmatter das notas. O HedgeDoc analisava (parse) o frontmatter utilizando js-yaml.load (js-yaml v3) através de @hedgedoc/meta-marked, o que resolvia os aliases dos âncoras YAML. Um payload malicioso compacto poderia, portanto, expandir-se numa estrutura de objeto enorme, consumindo CPU excessiva. Esta expansão ocorria em cada pedido dirigido à vista de publicação (/s/<shortid>) e, quando colocado sob a chave opengraph, também na vista do editor (/<noteId>). Uma bombas de alias com dez níveis poderia bloquear o único event loop do Node.js durante aproximadamente 235 segundos por pedido, fazendo com que os pedidos concorrentes ficassem pendentes ou fossem descartados e tornando a instância indisponível (DoS). Como a nota era armazenada na base de dados, o impacto persistia após reinícios do processo até à remoção da nota. A biblioteca toobusy-js não mitigava fiavelmente os piores casos, uma vez que o event loop ficava saturado antes que o middleware pudesse responder. Este problema foi corrigido na versão 1.11.0.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsável

GitHub M

Reservar

30/06/2026

Divulgação

14/07/2026

Moderação

aceite

Entrada

VDB-378202

CPE

pronto

EPSS

0.00235

KEV

não

Atividades

baixo

Fontes

Interested in the pricing of exploits?

See the underground prices here!