CVE-2024-45308

Versões do HedgeDoc anteriores à 1.10.0

O HedgeDoc é um aplicativo de código aberto para notas em Markdown, colaborativo e em tempo real. Ao usar o HedgeDoc com MySQL ou MariaDB, é possível criar notas com um alias que coincida com o ID de notas existentes, ocultando efetivamente a nota original. A vulnerabilidade pode ser explorada por usuários conectados ou por todos os usuários, dependendo das configurações de permissão, e requer o conhecimento do ID da nota alvo. Os invasores podem usar essa vulnerabilidade para apresentar uma cópia manipulada da nota original ou impedir o acesso a ela, causando uma negação de serviço. Nenhum dado é perdido, pois o conteúdo original permanece no banco de dados.

Para resolver o problema, atualize para a versão 1.10.0.

Se não for possível atualizar, desative o modo freeURL para impedir a exploração.

Como alternativa, restrinja a criação de notas freeURL a usuários confiáveis e conectados, ativando requireFreeURLAuthentication/CMD REQUIRE FREEURL AUTHENTICATION.