CVE-2026-58488 in HedgeDocthông tin

Tóm tắt

Bởi VulDB • 14/07/2026

HedgeDoc là một ứng dụng ghi chú markdown cộng tác, thời gian thực và mã nguồn mở. Các phiên bản trước 1.11.0 cho phép kẻ tấn công vượt qua cơ chế giới hạn tốc độ (rate-limiting) của các tuyến đường /login và /register bằng cách giả mạo địa chỉ IP. Các instance HedgeDoc kiểm tra tiêu đề cf-connecting-ip của CloudFlare và sử dụng giá trị đó thay vì địa chỉ IP thực tế của người dùng, ngay cả khi tiêu đề này có mặt nhưng yêu cầu không bắt nguồn từ Cloudflare. Điều này cho phép kẻ tấn công gửi spam các yêu cầu đăng nhập hoặc tạo nhiều tài khoản tùy ý bằng cách thêm tiêu đề cf-connecting-ip khác vào mỗi vài yêu cầu. Vấn đề đã được khắc phục trong phiên bản 1.11.0.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

chịu trách nhiệm

GitHub M

Đặt trước

30/06/2026

Tiết lộ

14/07/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00295

KEV

không

Các hoạt động

thấp

Nguồn

Interested in the pricing of exploits?

See the underground prices here!