Plataforma
nodejs
Componente
hedgedoc
Corrigido em
1.10.5
Uma vulnerabilidade de Cross-Site Request Forgery (CSRF) foi descoberta em HedgeDoc, uma aplicação de anotações colaborativas em Markdown. Essa falha, presente em versões anteriores à 1.10.4, reside nos endpoints OAuth2 para login social, como Google, GitHub, GitLab, Facebook e Dropbox. A ausência de proteção CSRF permite que um atacante execute ações não autorizadas em nome de um usuário autenticado, comprometendo a segurança das notas e configurações.
A exploração bem-sucedida desta vulnerabilidade CSRF permite que um atacante execute ações em nome de um usuário autenticado no HedgeDoc, sem o conhecimento ou consentimento do usuário. Isso pode incluir a modificação de notas, alteração de configurações de conta ou até mesmo a criação de novas contas, dependendo das permissões do usuário afetado. O impacto é amplificado em ambientes colaborativos, onde um atacante pode comprometer múltiplas contas simultaneamente. Embora a severidade seja classificada como baixa, a facilidade de exploração e o potencial para acesso não autorizado justificam uma correção imediata.
Esta vulnerabilidade foi divulgada em 2025-12-05. Não há relatos públicos de exploração ativa no momento da divulgação. A ausência de um Proof of Concept (PoC) publicamente disponível dificulta a avaliação precisa da probabilidade de exploração, mas a natureza inerente de vulnerabilidades CSRF as torna alvos potenciais para ataques automatizados. A vulnerabilidade não está listada no KEV (CISA Known Exploited Vulnerabilities) até o momento.
Organizations and individuals using HedgeDoc versions prior to 1.10.4, particularly those relying on social login providers for authentication, are at risk. Shared hosting environments where multiple users share the same HedgeDoc instance are also potentially more vulnerable, as a compromised user could impact other users on the same server.
• nodejs / server:
grep -r 'OAuth2' /path/to/hedgedoc/source• generic web:
curl -I https://your-hedgedoc-instance/oauth2/google/callback # Check for missing state parameterdisclosure
Status do Exploit
EPSS
0.02% (percentil 5%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é a atualização para a versão 1.10.4 do HedgeDoc, que inclui a correção necessária. Se a atualização imediata não for possível, considere implementar medidas de proteção CSRF adicionais, como a validação do cabeçalho Origin nas requisições OAuth2. Implementar políticas de segurança de conteúdo (CSP) também pode ajudar a mitigar o risco. Monitore os logs do HedgeDoc em busca de requisições suspeitas originadas de domínios desconhecidos.
Atualize HedgeDoc para a versão 1.10.4 ou superior. Esta versão corrige a vulnerabilidade CSRF nos fluxos de OAuth2 ao implementar a validação do parâmetro 'state'. A atualização pode ser realizada através do gerenciador de pacotes ou seguindo as instruções de atualização fornecidas pelo HedgeDoc.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-66629 is a Cross-Site Request Forgery (CSRF) vulnerability in HedgeDoc versions prior to 1.10.4, allowing attackers to perform actions as authenticated users via social login.
You are affected if you are using HedgeDoc version 1.10.4 or earlier. Upgrade to 1.10.4 to resolve the vulnerability.
Upgrade HedgeDoc to version 1.10.4 or later. Consider implementing a Content Security Policy (CSP) as an interim measure.
There are currently no known public exploits or confirmed active exploitation campaigns related to CVE-2025-66629.
Refer to the HedgeDoc release notes and security advisories on their official website or GitHub repository for details.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.