Vulnerabilidad en HedgeDoc (CVE-2025-32391)

HedgeDoc es una aplicación de notas de rebajas, colaborativa y en tiempo real, de código abierto. Antes de la versión 1.10.3, un archivo SVG malicioso cargado en HedgeDoc generaba la posibilidad de un XSS cuando se abría en una nueva pestaña en lugar de en el editor mismo. El XSS es posible aprovechando las capacidades JSONP de las incrustaciones de GitHub Gist. Solo las instancias con el backend de carga del sistema de archivos local o configuraciones especiales, donde las cargas se sirven desde el mismo dominio que HedgeDoc, son vulnerables. Esta vulnerabilidad se corrigió en 1.10.3. Cuando no es posible actualizar a HedgeDoc 1.10.3, los propietarios de instancias podrían agregar los siguientes encabezados para todas las rutas bajo /uploads como primera contramedida: Content-Disposition: attachment y Content-Security-Policy: default-src 'none'. Además, se deben eliminar las URL externas en el atributo script-src del encabezado Content-Security-Policy.