प्लेटफ़ॉर्म
nodejs
घटक
hedgedoc
में ठीक किया गया
1.10.5
CVE-2025-66629 HedgeDoc में एक क्रॉस-साइट रिक्वेस्ट फोर्जिंग (CSRF) भेद्यता है। यह भेद्यता हमलावरों को उपयोगकर्ता की जानकारी के बिना उनकी सहमति के बिना कार्रवाई करने की अनुमति दे सकती है। यह भेद्यता HedgeDoc के 1.10.4 से पहले के संस्करणों को प्रभावित करती है और संस्करण 1.10.4 में ठीक की गई है।
यह CSRF भेद्यता HedgeDoc के OAuth2 सोशल लॉगिन एंडपॉइंट्स को प्रभावित करती है, जैसे Google, GitHub, GitLab, Facebook और Dropbox। हमलावर इस भेद्यता का उपयोग उपयोगकर्ता के खाते को नियंत्रित करने, संवेदनशील डेटा तक पहुंचने या अनधिकृत क्रियाएं करने के लिए कर सकते हैं। चूंकि OAuth2 लॉगिन का उपयोग अक्सर अन्य सेवाओं तक पहुंच को अधिकृत करने के लिए किया जाता है, इसलिए इस भेद्यता का शोषण करने से हमलावर अन्य प्रणालियों में भी प्रवेश कर सकते हैं। यह विशेष रूप से चिंताजनक है क्योंकि CSRF हमलों को लागू करना अपेक्षाकृत आसान है, जिससे यह भेद्यता व्यापक शोषण के लिए अतिसंवेदनशील हो जाती है।
CVE-2025-66629 को अभी तक सक्रिय रूप से शोषण करने की जानकारी नहीं है। यह भेद्यता KEV (CISA Known Exploited Vulnerabilities) सूची में शामिल नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) मौजूद नहीं हैं। NVD (National Vulnerability Database) और CISA (Cybersecurity and Infrastructure Security Agency) ने इस भेद्यता के बारे में जानकारी प्रकाशित की है।
Organizations and individuals using HedgeDoc versions prior to 1.10.4, particularly those relying on social login providers for authentication, are at risk. Shared hosting environments where multiple users share the same HedgeDoc instance are also potentially more vulnerable, as a compromised user could impact other users on the same server.
• nodejs / server:
grep -r 'OAuth2' /path/to/hedgedoc/source• generic web:
curl -I https://your-hedgedoc-instance/oauth2/google/callback # Check for missing state parameterdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.02% (5% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2025-66629 को कम करने के लिए, HedgeDoc के संस्करण 1.10.4 में अपग्रेड करना आवश्यक है। यदि अपग्रेड संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग CSRF हमलों को रोकने के लिए किया जा सकता है। WAF को OAuth2 एंडपॉइंट्स के लिए CSRF टोकन सत्यापन लागू करने के लिए कॉन्फ़िगर किया जाना चाहिए। इसके अतिरिक्त, सोशल लॉगिन प्रदाताओं के लिए अतिरिक्त प्रमाणीकरण परतें, जैसे दो-कारक प्रमाणीकरण (2FA), लागू करने से हमले की सतह को कम करने में मदद मिल सकती है। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि CSRF सुरक्षा ठीक से काम कर रही है, OAuth2 लॉगिन प्रक्रिया का परीक्षण करें।
HedgeDoc को संस्करण 1.10.4 या उच्चतर में अपडेट करें। यह संस्करण 'state' पैरामीटर के सत्यापन को लागू करके OAuth2 फ्लो में CSRF भेद्यता को ठीक करता है। अपडेट पैकेज मैनेजर के माध्यम से या HedgeDoc द्वारा प्रदान किए गए अपडेट निर्देशों का पालन करके किया जा सकता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-66629 HedgeDoc के OAuth2 सोशल लॉगिन एंडपॉइंट्स में एक CSRF भेद्यता है, जिससे हमलावर अनधिकृत क्रियाएं कर सकते हैं।
यदि आप HedgeDoc के संस्करण 1.10.4 से पहले का संस्करण चला रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2025-66629 को ठीक करने के लिए, HedgeDoc के संस्करण 1.10.4 में अपग्रेड करें।
CVE-2025-66629 को अभी तक सक्रिय रूप से शोषण करने की जानकारी नहीं है।
आप आधिकारिक HedgeDoc सलाहकार यहां पा सकते हैं: [HedgeDoc advisory URL - replace with actual URL]
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।