Vulnerabilità: CVE-2020-26286

HedgeDoc è una piattaforma collaborativa per la scrittura e la condivisione di Markdown. In HedgeDoc prima della versione 1.7.1 di un malintenzionato non autenticato può caricare file arbitrari al backend di memorizzazione di upload, inclusi i file HTML, JS e PHP. Il problema è patchato in HedgeDoc 1.7.1. Tuttavia, è necessario verificare che l’archiviazione file inserito contiene solo i file che sono autorizzati, come i file caricati potrebbero ancora essere serviti. Come soluzione alternativa è possibile bloccare l’/ uploadimage` endpoint `sull’istanza di utilizzare il proxy inverso. E / o limitare tipi MIME e nomi di file serviti dal archiviazione file di caricamento.


https://github.com/hedgedoc/hedgedoc/security/advisories/GHSA-wcr3-xhv7-8gxc
https://github.com/hedgedoc/hedgedoc/security/advisories/GHSA-wcr3-xhv7-8gxc
https://github.com/hedgedoc/hedgedoc/commit/e9306991cdb5ff2752c1eeba3fedba42aec3c2d8
https://github.com/hedgedoc/hedgedoc/commit/e9306991cdb5ff2752c1eeba3fedba42aec3c2d8
https://github.com/hedgedoc/hedgedoc/releases/tag/1.7.1
https://github.com/hedgedoc/hedgedoc/releases/tag/1.7.1
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26286


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi