CVE-2026-58487 in HedgeDoc
Сводка
по VulDB • 14.07.2026
HedgeDoc — это приложение для совместного создания заметок в формате Markdown с поддержкой работы в реальном времени и открытым исходным кодом. До версии 1.11.0 HedgeDoc был уязвим к сохраненной HTML-инъекции (Stored HTML Injection) через функции публикации (publish views) и просмотра презентаций (slide views) из-за небезопасной обработки локальной части зарегистрированных адресов электронной почты. Злоумышленник мог зарегистрировать специально сформированный адрес электронной почты и внедрить произвольный HTML-код на страницы, просматриваемые другими пользователями.
При регистрации HedgeDoc принимал локальные части (local-parts) в формате quoted-string согласно RFC 5321. Затем эта локальная часть использовалась в качестве отображаемого имени пользователя без экранирования и рендерилась как HTML-код в нескольких местах, включая режимы публикации, просмотра слайдов и совместного редактирования. Злоумышленник мог выйти за пределы атрибута HTML и внедрить произвольную разметку на страницу. Хотя развернутая политика безопасности контента (Content-Security-Policy) предотвращала простое выполнение встроенных скриптов JavaScript, внедренный HTML-код все же позволял изменять содержимое страницы и встраивать ресурсы под контролем злоумышленника, такие как фреймы iframes с перекрестным источником. Эта проблема была исправлена в версии 1.11.0.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.