CVE-2024-45308

HedgeDoc is an open source, real-time, collaborative, markdown notes application. When using HedgeDoc 1 with MySQL or MariaDB, it is possible to create notes with an alias matching the ID of existing notes. The affected existing note can then not be accessed anymore and is effectively hidden by the new one. When the freeURL feature is enabled (by setting the `allowFreeURL` config option or the `CMD_ALLOW_FREEURL` environment variable to `true`), any user with the appropriate permissions can create a note with an arbitrary alias, e.g. by accessing it in the browser. When MySQL or MariaDB are used, it is possible to create a new note with an alias that matches the lower-cased ID of a different note. HedgeDoc then always presents the new note to users, as these databases perform case-insensitive matching and the lower-cased alias is found first. This issue only affects HedgeDoc instances that use MySQL or MariaDB. Depending on the permission settings of the HedgeDoc instance, the issue can be exploited only by logged-in users or by all (including non-logged-in) users. The exploit requires knowledge of the ID of the target note. Attackers could use this issue to present a manipulated copy of the original note to the user, e.g. by replacing the links with malicious ones. Attackers can also use this issue to prevent access to the original note, causing a denial of service. No data is lost, as the original content of the affected notes is still present in the database. Users are advised to upgrade to version 1.10.0 which addresses this issue. Users unable to upgrade may disable freeURL mode which prevents the exploitation of this issue. The impact can also be limited by restricting freeURL note creation to trusted, logged-in users by enabling `requireFreeURLAuthentication`/`CMD_REQUIRE_FREEURL_AUTHENTICATION`.
Configurations

No configuration.

History

03 Sep 2024, 12:59

Type Values Removed Values Added
Summary
  • (es) HedgeDoc es una aplicación de notas de código abierto, en tiempo real, colaborativa y con formato Markdown. Al utilizar HedgeDoc 1 con MySQL o MariaDB, es posible crear notas con un alias que coincida con el ID de las notas existentes. A partir de ese momento, ya no se puede acceder a la nota existente afectada y la nueva la oculta de manera efectiva. Cuando se habilita la función freeURL (estableciendo la opción de configuración `allowFreeURL` o la variable de entorno `CMD_ALLOW_FREEURL` en `true`), cualquier usuario con los permisos adecuados puede crear una nota con un alias arbitrario, por ejemplo, accediendo a ella en el navegador. Cuando se utiliza MySQL o MariaDB, es posible crear una nueva nota con un alias que coincida con el ID en minúsculas de una nota diferente. Luego, HedgeDoc siempre presenta la nueva nota a los usuarios, ya que estas bases de datos realizan una comparación sin distinguir entre mayúsculas y minúsculas y el alias en minúsculas se encuentra primero. Este problema solo afecta a las instancias de HedgeDoc que utilizan MySQL o MariaDB. Según la configuración de permisos de la instancia de HedgeDoc, el problema puede ser explotado solo por usuarios que hayan iniciado sesión o por todos los usuarios (incluidos los que no hayan iniciado sesión). El exploit requiere el conocimiento del ID de la nota de destino. Los atacantes podrían usar este problema para presentar una copia manipulada de la nota original al usuario, por ejemplo, reemplazando los enlaces con enlaces maliciosos. Los atacantes también pueden usar este problema para evitar el acceso a la nota original, lo que provoca una denegación de servicio. No se pierden datos, ya que el contenido original de las notas afectadas aún está presente en la base de datos. Se recomienda a los usuarios que actualicen a la versión 1.10.0 que soluciona este problema. Los usuarios que no puedan actualizar pueden desactivar el modo freeURL que evita la explotación de este problema. El impacto también se puede limitar restringiendo la creación de notas freeURL a usuarios confiables que hayan iniciado sesión habilitando `requireFreeURLAuthentication`/`CMD_REQUIRE_FREEURL_AUTHENTICATION`.

02 Sep 2024, 18:15

Type Values Removed Values Added
New CVE

Information

Published : 2024-09-02 18:15

Updated : 2024-09-03 12:59


NVD link : CVE-2024-45308

Mitre link : CVE-2024-45308

CVE.ORG link : CVE-2024-45308


JSON object : View

Products Affected

No product.

CWE
CWE-1289

Improper Validation of Unsafe Equivalence in Input