Katalog CVE

CVE-2025-51591

NiskieCVSS 3.7
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.61%

Percentyl 45 — wyżej niż 45% wszystkich znanych CVE

Streszczenie

Podatność SSRF w JGM Pandoc v3.6.4 umożliwia atakującemu wstrzyknięcie spreparowanego iframe, co pozwala na dostęp do całej infrastruktury i jej naruszenie. Domyślne działanie Pandoc, polegające na pobieraniu i parsowaniu niezaufanego HTML, może ułatwić wykorzystanie tej luki.

Ocena ryzyka

Ryzyko polega na możliwości zdalnego skanowania i atakowania wewnętrznych zasobów sieciowych organizacji, co może prowadzić do wycieku danych, przejęcia kontroli nad systemami i dalszej eskalacji ataku w infrastrukturze.

Rekomendacja

Zaleca się natychmiastową aktualizację Pandoc do najnowszej wersji oraz stosowanie opcji '--sandbox' lub 'pandoc-server' w celu ograniczenia ryzyka. Należy również unikać używania zewnętrznych silników PDF, takich jak wkhtmltopdf, bez odpowiednich zabezpieczeń.

Oryginalny opis (angielski, źródło NVD)

A Server-Side Request Forgery (SSRF) in JGM Pandoc v3.6.4 allows attackers to gain access to and compromise the whole infrastructure via injecting a crafted iframe. Note: Some users have stated that Pandoc by default can retrieve and parse untrusted HTML content which can enable SSRF vulnerabilities. Using the ‘--sandbox’ option or ‘pandoc-server’ can mitigate such vulnerabilities. Using pandoc with an external ‘--pdf-engine’ can also enable SSRF vulnerabilities, such as CVE-2022-35583 in wkhtmltopdf.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS