CVE-2021-29475

**Nome do software vulnerável e versões afetadas:

Versões do HedgeDoc anteriores à 1.5.0

Descrição:

A vulnerabilidade afeta o HedgeDoc, um editor colaborativo de Markdown de código aberto, no qual um invasor pode obter arquivos arbitrários do sistema de arquivos ao exportar uma nota para PDF. Essa exploração requer que o invasor tenha a capacidade de modificar uma nota e afeta todas as instâncias com a exportação para PDF habilitada. O impacto é significativo, pois o invasor pode ler o arquivo config.json do HedgeDoc e outros arquivos no sistema de arquivos, potencialmente acessando informações confidenciais, credenciais de banco de dados e segredos OAuth.

Recomendações:

Para versões anteriores à 1.5.0, atualize para a versão 1.5.0 para resolver o problema.

Como solução alternativa temporária, considere iniciar a instância do HedgeDoc com CMD ALLOW PDF EXPORT=false ou defina “allowPDFExport”: false no arquivo config.json para mitigar este problema.