CVE-2026-58488 in HedgeDoc
Tóm tắt
Bởi VulDB • 14/07/2026
HedgeDoc là một ứng dụng ghi chú markdown cộng tác, thời gian thực và mã nguồn mở. Các phiên bản trước 1.11.0 cho phép kẻ tấn công vượt qua cơ chế giới hạn tốc độ (rate-limiting) của các tuyến đường /login và /register bằng cách giả mạo địa chỉ IP. Các instance HedgeDoc kiểm tra tiêu đề cf-connecting-ip của CloudFlare và sử dụng giá trị đó thay vì địa chỉ IP thực tế của người dùng, ngay cả khi tiêu đề này có mặt nhưng yêu cầu không bắt nguồn từ Cloudflare. Điều này cho phép kẻ tấn công gửi spam các yêu cầu đăng nhập hoặc tạo nhiều tài khoản tùy ý bằng cách thêm tiêu đề cf-connecting-ip khác vào mỗi vài yêu cầu. Vấn đề đã được khắc phục trong phiên bản 1.11.0.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.