Platform
nodejs
Component
hedgedoc
Opgelost in
1.10.5
CVE-2025-66629 beschrijft een Cross-Site Request Forgery (CSRF) kwetsbaarheid in HedgeDoc, een open-source applicatie voor real-time, collaboratieve markdown notities. Een aanvaller kan ongeautoriseerde acties uitvoeren namens een gebruiker door middel van kwaadaardige verzoeken. Deze kwetsbaarheid treft versies van HedgeDoc tot en met 1.10.4 en is verholpen in versie 1.10.4.
Deze CSRF-kwetsbaarheid stelt een aanvaller in staat om acties uit te voeren alsof ze de legitieme gebruiker zijn, met name bij het inloggen via OAuth2-providers zoals Google, GitHub, GitLab, Facebook en Dropbox. Een aanvaller kan bijvoorbeeld de account van een gebruiker wijzigen, gegevens inzien of verwijderen, of andere acties uitvoeren die de gebruiker normaal gesproken zou uitvoeren. Het succes van de aanval hangt af van de mogelijkheid om de gebruiker te misleiden om een kwaadaardig verzoek uit te voeren terwijl ze ingelogd zijn op HedgeDoc. Dit soort CSRF-aanvallen vereisen vaak social engineering om effectief te zijn, maar de impact kan aanzienlijk zijn als de gebruiker wordt misleid.
Deze kwetsbaarheid is publiekelijk bekend sinds 5 december 2025. Er zijn momenteel geen publiekelijk beschikbare proof-of-concept exploits bekend, maar de CSRF-kwetsbaarheid is een bekende en relatief eenvoudig te exploiteren kwetsbaarheid. De KEV-status is momenteel onbekend. De lage CVSS-score (3.7) duidt op een beperkte impact, maar de potentiële impact op gebruikersaccounts mag niet worden onderschat.
Organizations and individuals using HedgeDoc versions prior to 1.10.4, particularly those relying on social login providers for authentication, are at risk. Shared hosting environments where multiple users share the same HedgeDoc instance are also potentially more vulnerable, as a compromised user could impact other users on the same server.
• nodejs / server:
grep -r 'OAuth2' /path/to/hedgedoc/source• generic web:
curl -I https://your-hedgedoc-instance/oauth2/google/callback # Check for missing state parameterdisclosure
Exploit Status
EPSS
0.02% (5% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden naar HedgeDoc versie 1.10.4 of hoger, waarin de CSRF-bescherming is toegevoegd aan de OAuth2 social login endpoints. Als een directe upgrade niet mogelijk is, kan het implementeren van een Content Security Policy (CSP) helpen om de impact van CSRF-aanvallen te verminderen door het beperken van de bronnen waaruit de browser scripts kan laden. Daarnaast is het belangrijk om gebruikers bewust te maken van de risico's van phishing-aanvallen en hen aan te moedigen om voorzichtig te zijn met links en verzoeken die ze ontvangen. Na de upgrade, controleer de logs op verdachte OAuth2-activiteit.
Update HedgeDoc naar versie 1.10.4 of hoger. Deze versie corrigeert de CSRF kwetsbaarheid in OAuth2 flows door de validatie van de 'state' parameter te implementeren. De update kan worden uitgevoerd via de package manager of door de update instructies van HedgeDoc te volgen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-66629 is a Cross-Site Request Forgery (CSRF) vulnerability in HedgeDoc versions prior to 1.10.4, allowing attackers to perform actions as authenticated users via social login.
You are affected if you are using HedgeDoc version 1.10.4 or earlier. Upgrade to 1.10.4 to resolve the vulnerability.
Upgrade HedgeDoc to version 1.10.4 or later. Consider implementing a Content Security Policy (CSP) as an interim measure.
There are currently no known public exploits or confirmed active exploitation campaigns related to CVE-2025-66629.
Refer to the HedgeDoc release notes and security advisories on their official website or GitHub repository for details.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.