CVE-2026-58489 in HedgeDoc
Sumário
de VulDB • 14/07/2026
O HedgeDoc é uma aplicação de notas colaborativas em tempo real baseada em markdown e código aberto. Antes da versão 1.11.0, o fluxo de exportação para GitHub Gist criava um valor OAuth2 `state`, mas apenas verificava a sua presença em vez de validá-lo contra o valor esperado para a sessão do utilizador. Como o estado não era devidamente validado, um atacante poderia forjar uma URL de callback contendo o seu próprio código OAuth válido do GitHub. Ao processar o callback, o HedgeDoc utilizava a sessão iniciada da vítima para selecionar qual nota exportar, mas usava o código de autorização do atacante para determinar em que conta do GitHub seria enviada. Como resultado, uma vítima com sessão ativa que clicasse num link manipulado poderia exportar diretamente as suas notas privadas, protegidas ou limitadas para um Gist controlado pelo atacante. Este problema foi corrigido na versão 1.11.0.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.