LOWCVE-2025-66629CVSS 3.7

HedgeDocにおいてOAuth2フローにステートパラメータがないためCSRFにつながる可能性がある

Q: CVE-2025-66629 — CSRF in HedgeDocとは何ですか？

CVE-2025-66629は、HedgeDocのOAuth2ソーシャルログインエンドポイントにおけるCSRF脆弱性です。攻撃者は認証済みのユーザーになりすまして不正な操作を実行する可能性があります。

Q: CVE-2025-66629 in HedgeDocの影響はありますか？

HedgeDocのバージョン1.10.4以前を使用している場合は影響があります。攻撃者は、ユーザーのノートへの不正なアクセス、編集、削除といった操作を実行する可能性があります。

Q: CVE-2025-66629 in HedgeDocを修正するにはどうすればよいですか？

HedgeDocをバージョン1.10.4以降にアップデートしてください。アップデートが困難な場合は、ソーシャルログイン機能を一時的に無効にするか、WAFを使用してCSRF攻撃をブロックすることを検討してください。

Q: CVE-2025-66629は積極的に悪用されていますか？

現時点では、この脆弱性を悪用する公開されているPoCは確認されていませんが、将来的に悪用される可能性はあります。

Q: CVE-2025-66629に関するHedgeDocの公式アドバイザリはどこで入手できますか？

HedgeDocの公式アドバイザリは、HedgeDocのウェブサイトまたはGitHubリポジトリで確認できます。

プラットフォーム

nodejs

コンポーネント

hedgedoc

修正版

1.10.5

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

HedgeDocは、リアルタイムで共同編集可能なMarkdownノートアプリケーションです。CVE-2025-66629は、Google、GitHub、GitLab、Facebook、DropboxなどのソーシャルログインプロバイダーのOAuth2エンドポイントに存在するCSRF（クロスサイトリクエストフォージェリ）脆弱性です。バージョン1.10.4以前のHedgeDocでは、これらのエンドポイントがstateパラメータを送信せず、応答を検証しないため、攻撃者は認証済みのユーザーになりすまして不正な操作を実行する可能性があります。この脆弱性はバージョン1.10.4で修正されています。

影響と攻撃シナリオ

このCSRF脆弱性を悪用されると、攻撃者は認証済みのユーザーとしてHedgeDocにリクエストを送信できます。これにより、ユーザーのノートへの不正なアクセス、編集、削除、さらには設定の変更といった操作が可能になります。攻撃者は、悪意のあるウェブサイトやメールにリンクを埋め込むことで、ユーザーがHedgeDocにログインしている間に脆弱性を引き起こす可能性があります。特に、ソーシャルログインを利用しているユーザーは、この脆弱性の影響を受けやすくなります。攻撃者は、ユーザーの認証情報を盗むことなく、ユーザーのHedgeDocアカウントを制御できる可能性があります。

悪用の状況

この脆弱性は、2025年12月5日に公開されました。現時点では、この脆弱性を悪用する公開されているPoC（Proof of Concept）は確認されていませんが、CSRF脆弱性は比較的悪用が容易であるため、将来的に悪用される可能性はあります。CISAのKEV（Known Exploited Vulnerabilities）カタログへの登録状況は不明です。NVD（National Vulnerability Database）の情報も参照してください。

リスク対象者翻訳中…

Organizations and individuals using HedgeDoc versions prior to 1.10.4, particularly those relying on social login providers for authentication, are at risk. Shared hosting environments where multiple users share the same HedgeDoc instance are also potentially more vulnerable, as a compromised user could impact other users on the same server.

検出手順翻訳中…

• nodejs / server:

  grep -r 'OAuth2' /path/to/hedgedoc/source

• generic web:

  curl -I https://your-hedgedoc-instance/oauth2/google/callback # Check for missing state parameter

攻撃タイムライン

2025-12-05Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.02% (5% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントhedgedoc

ベンダーhedgedoc

影響範囲修正版

< 1.10.4 – < 1.10.41.10.5

弱点分類 (CWE)

CWE-352

タイムライン

予約済み2025-12-05
公開日2025-12-05
更新日2025-12-08
EPSS 更新日2026-03-23

緩和策と回避策

この脆弱性への対応策として、HedgeDocをバージョン1.10.4以降にアップデートすることを強く推奨します。アップデートが困難な場合は、ソーシャルログイン機能を一時的に無効にするか、WAF（Web Application Firewall）を使用してCSRF攻撃をブロックすることを検討してください。WAFのルールは、POSTリクエストのRefererヘッダーを検証し、HedgeDocのドメインと一致しないリクエストをブロックするように設定できます。また、OAuth2エンドポイントへのリクエストにstateパラメータを追加し、応答を検証するカスタムのセキュリティ対策を実装することも有効です。

修正方法

HedgeDocをバージョン1.10.4以降にアップデートしてください。このバージョンでは、'state'パラメータの検証を実装することで、OAuth2フローにおけるCSRF脆弱性を修正しています。アップデートはパッケージマネージャーを使用するか、HedgeDocが提供するアップデート手順に従って実行できます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-66629 — CSRF in HedgeDocとは何ですか？