CVE-2025-32391

Nome do Software Vulnerável e Versões Afetadas: Versões do HedgeDoc anteriores à 1.10.3

Descrição: O problema ocorre quando um arquivo SVG malicioso é carregado no HedgeDoc, potencialmente resultando em cross-site scripting (XSS) quando o arquivo é aberto em uma nova aba. Isso é possível devido à exploração de funcionalidades JSONP em incorporações do GitHub Gist. Apenas instâncias com configurações específicas, como o back-end de upload de sistema de arquivos local ou onde os uploads são servidos a partir do mesmo domínio do HedgeDoc, são afetadas.

Recomendações: Para versões anteriores à 1.10.3, atualize para o HedgeDoc 1.10.3 para resolver o problema. Como solução alternativa temporária para instâncias que não podem ser atualizadas para a versão 1.10.3, adicione os seguintes cabeçalhos para todas as rotas sob /uploads: Content-Disposition: attachment e Content-Security-Policy: default-src 'none'. Além disso, remova URLs externas no atributo script-src do cabeçalho Content-Security-Policy.