关键漏洞信息 漏洞标题: Security headers for uploaded files were not working 漏洞严重性: Moderate (4.3/10) CVE ID: CVE-2026-25642 受影响版本: <= 1.10.5 修复版本: 1.10.6 包名称: hedgedoc 总结 由于一个 bug,通过 端点提供的文件没有使用更严格的安全策略。这导致了内容安全策略过于宽松,并且进一步可能通过 SVG 文件来承载恶意互动式 web 内容(例如假冒的登录表单)。 修复措施 通过重新排序应用程序代码中的方法修复 bug,修复提交: 使用 属性进一步加强内容安全策略,修复提交: 细节 在某一提交中 ( ) 引入安全头来避免使用 SVG 文件的安全漏洞。然而,由于 express 代码的变更,导致这些安全头不再被应用于上传文件。通过在将请求传递给 之前设置这些头,使安全头重新生效。 使用两种头来增强上传文件的安全性: : 请求浏览器不要直接显示文件,而是强制下载。 : 限制浏览器不允许加载外部数据或向远程端点提交数据。 属性进一步指示浏览器避免从该资源执行任何脚本或插件。 影响 该漏洞影响所有使用 后端进行媒体上传的 HedgeDoc 实例。 解决办法 如果无法升级,可以考虑使用反向代理为所有以 开头的路径添加上述提到的安全头。