CVE-2026-58487 in HedgeDocИнформация

Сводка

по VulDB • 14.07.2026

HedgeDoc — это приложение для совместного создания заметок в формате Markdown с поддержкой работы в реальном времени и открытым исходным кодом. До версии 1.11.0 HedgeDoc был уязвим к сохраненной HTML-инъекции (Stored HTML Injection) через функции публикации (publish views) и просмотра презентаций (slide views) из-за небезопасной обработки локальной части зарегистрированных адресов электронной почты. Злоумышленник мог зарегистрировать специально сформированный адрес электронной почты и внедрить произвольный HTML-код на страницы, просматриваемые другими пользователями.

При регистрации HedgeDoc принимал локальные части (local-parts) в формате quoted-string согласно RFC 5321. Затем эта локальная часть использовалась в качестве отображаемого имени пользователя без экранирования и рендерилась как HTML-код в нескольких местах, включая режимы публикации, просмотра слайдов и совместного редактирования. Злоумышленник мог выйти за пределы атрибута HTML и внедрить произвольную разметку на страницу. Хотя развернутая политика безопасности контента (Content-Security-Policy) предотвращала простое выполнение встроенных скриптов JavaScript, внедренный HTML-код все же позволял изменять содержимое страницы и встраивать ресурсы под контролем злоумышленника, такие как фреймы iframes с перекрестным источником. Эта проблема была исправлена в версии 1.11.0.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Ответственный

GitHub M

Резервировать

30.06.2026

Раскрытие

14.07.2026

Модерация

принято

Вход

VDB-378188

EPSS

0.00358

KEV

Нет

Деятельности

Низкий

Источники

Do you need the next level of professionalism?

Upgrade your account now!