Plateforme
nodejs
Composant
hedgedoc
Corrigé dans
1.10.5
Une vulnérabilité de Cross-Site Request Forgery (CSRF) a été découverte dans HedgeDoc, une application open source de prise de notes collaborative en Markdown. Cette faille permet à un attaquant d'exploiter l'absence de protection CSRF sur certains points d'extrémité OAuth2 utilisés pour la connexion sociale, tels que Google, GitHub, GitLab, Facebook et Dropbox. La vulnérabilité affecte les versions de HedgeDoc antérieures à 1.10.4 et a été corrigée dans la version 1.10.4.
Un attaquant peut exploiter cette vulnérabilité CSRF pour forcer un utilisateur authentifié à effectuer des actions non désirées sur HedgeDoc sans son consentement. Par exemple, un attaquant pourrait modifier des notes, supprimer des données ou même compromettre le compte de l'utilisateur. L'impact est limité à l'environnement HedgeDoc et ne permet pas d'accès direct au système sous-jacent, mais la manipulation des données collaboratives peut avoir des conséquences significatives pour les équipes utilisant HedgeDoc. Cette vulnérabilité est particulièrement préoccupante dans les environnements où les utilisateurs partagent des comptes ou utilisent des navigateurs non sécurisés.
Cette vulnérabilité a été rendue publique le 2025-12-05. Il n'y a pas d'indication d'une exploitation active à ce jour. Aucun Proof of Concept (PoC) public n'a été identifié. La vulnérabilité n'a pas été ajoutée au catalogue KEV de CISA. La probabilité d'exploitation est considérée comme faible en raison de la nécessité d'une interaction utilisateur et de l'absence de PoC largement disponibles.
Organizations and individuals using HedgeDoc versions prior to 1.10.4, particularly those relying on social login providers for authentication, are at risk. Shared hosting environments where multiple users share the same HedgeDoc instance are also potentially more vulnerable, as a compromised user could impact other users on the same server.
• nodejs / server:
grep -r 'OAuth2' /path/to/hedgedoc/source• generic web:
curl -I https://your-hedgedoc-instance/oauth2/google/callback # Check for missing state parameterdisclosure
Statut de l'Exploit
EPSS
0.02% (percentile 5%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour HedgeDoc vers la version 1.10.4 ou ultérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est recommandé de renforcer les mesures de sécurité de l'environnement HedgeDoc. Bien qu'il n'existe pas de contournement direct, l'implémentation de politiques de sécurité du navigateur, telles que le blocage des scripts intersites, peut atténuer le risque. Surveillez également les journaux d'accès et d'erreurs pour détecter toute activité suspecte. Après la mise à jour, vérifiez que les points d'extrémité OAuth2 ne sont plus vulnérables en effectuant des tests CSRF.
Mettez à jour HedgeDoc à la version 1.10.4 ou supérieure. Cette version corrige la vulnérabilité CSRF dans les flux OAuth2 en implémentant la validation du paramètre 'state'. La mise à jour peut être effectuée via le gestionnaire de paquets ou en suivant les instructions de mise à jour fournies par HedgeDoc.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-66629 is a Cross-Site Request Forgery (CSRF) vulnerability in HedgeDoc versions prior to 1.10.4, allowing attackers to perform actions as authenticated users via social login.
You are affected if you are using HedgeDoc version 1.10.4 or earlier. Upgrade to 1.10.4 to resolve the vulnerability.
Upgrade HedgeDoc to version 1.10.4 or later. Consider implementing a Content Security Policy (CSP) as an interim measure.
There are currently no known public exploits or confirmed active exploitation campaigns related to CVE-2025-66629.
Refer to the HedgeDoc release notes and security advisories on their official website or GitHub repository for details.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.