CVE-2025-66629 是 HedgeDoc 中的跨站请求伪造 (CSRF) 漏洞。该漏洞允许攻击者在用户不知情的情况下执行未经授权的操作,例如更改账户设置或访问敏感数据。该漏洞影响 HedgeDoc 版本小于或等于 1.10.4 的用户。已发布 1.10.4 版本修复了此问题。
攻击者可以利用此 CSRF 漏洞伪造用户请求,从而执行各种恶意操作。例如,攻击者可以更改用户的密码,修改笔记内容,甚至冒充用户访问其他服务。由于 HedgeDoc 是一种协作笔记应用程序,因此此漏洞可能导致敏感信息的泄露和数据篡改。攻击者可以通过诱骗用户点击恶意链接或访问恶意网站来触发此漏洞。如果用户已登录 HedgeDoc,攻击者就可以利用 CSRF 漏洞执行恶意操作。
该漏洞已公开披露,并已添加到 NVD 数据库中。目前没有已知的公开利用程序,但由于 CSRF 漏洞的普遍性,建议尽快修复此问题。CISA 尚未将此漏洞添加到 KEV 目录中。该漏洞的概率评估为低。
Organizations and individuals using HedgeDoc versions prior to 1.10.4, particularly those relying on social login providers for authentication, are at risk. Shared hosting environments where multiple users share the same HedgeDoc instance are also potentially more vulnerable, as a compromised user could impact other users on the same server.
• nodejs / server:
grep -r 'OAuth2' /path/to/hedgedoc/source• generic web:
curl -I https://your-hedgedoc-instance/oauth2/google/callback # Check for missing state parameterdisclosure
漏洞利用状态
EPSS
0.02% (5% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即升级到 HedgeDoc 1.10.4 或更高版本。如果无法立即升级,可以考虑实施一些临时缓解措施。例如,可以配置 Web 应用程序防火墙 (WAF) 以阻止 CSRF 攻击。此外,可以审查 HedgeDoc 的 OAuth2 配置,确保所有登录提供商都正确配置了 CSRF 保护。在升级后,请验证 OAuth2 登录流程是否已正确修复,以确保攻击者无法利用此漏洞。
将 HedgeDoc 更新到 1.10.4 或更高版本。此版本通过实现 'state' 参数的验证来修复 OAuth2 流中的 CSRF 漏洞。可以通过包管理器或遵循 HedgeDoc 提供的更新说明进行更新。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-66629 是 HedgeDoc 版本 ≤ 1.10.4 中发现的跨站请求伪造 (CSRF) 漏洞,攻击者可以伪造用户请求执行未经授权的操作。
如果您正在使用 HedgeDoc 版本低于 1.10.4,则可能受到此漏洞的影响。请立即升级到最新版本以修复此问题。
最有效的修复方法是升级到 HedgeDoc 1.10.4 或更高版本。
目前没有已知的公开利用程序,但建议尽快修复此漏洞以降低风险。
请访问 HedgeDoc 的官方网站或 GitHub 仓库,查找有关此漏洞的公告和修复说明。