Hedgedoc · Hedgedoc · CVE-2021-21259
**Nome do software vulnerável e versões afetadas:
Versões do HedgeDoc anteriores à 1.7.2
Descrição:
O HedgeDoc é um software de código aberto que permite aos usuários criar notas colaborativas em Markdown em tempo real. Um invasor pode injetar código JavaScript arbitrário em uma nota do HedgeDoc, o qual é executado quando a nota é visualizada no modo de apresentação. Dependendo da configuração da instância, o invasor pode não precisar de autenticação para criar ou editar notas.
Recomendações:
Para versões do HedgeDoc anteriores à 1.7.2, atualize para a versão 1.7.2 para resolver o problema.
Como solução alternativa temporária, considere desativar o carregamento de JavaScript de sites de terceiros usando o cabeçalho `Content-Security-Policy`, observando que isso irá interromper alguns conteúdos incorporados.