Katalog CVE

CVE-2026-42589

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Gotenberg to API do plików PDF, które przed wersją 8.31.0 nie weryfikowało kluczy w obiektach JSON przesyłanych do punktu końcowego /forms/pdfengines/metadata/write. Wykorzystanie znaku nowej linii w kluczu JSON pozwala na wstrzyknięcie dowolnych flag ExifTool, co prowadzi do nieautoryzowanego wykonania poleceń systemowych.

Ocena ryzyka

Atakujący może uzyskać dostęp do systemu operacyjnego poprzez wykonanie dowolnych poleceń, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji. Dodatkowo, odpowiedź ataku jest trudna do wykrycia, ponieważ zwraca ważny plik PDF.

Rekomendacja

Zaleca się aktualizację Gotenberga do wersji 8.31.0 lub nowszej, aby usunąć tę podatność. Należy również rozważyć dodatkowe mechanizmy monitorowania i weryfikacji danych wejściowych.

Oryginalny opis (angielski, źródło NVD)

Gotenberg is a Docker-powered stateless API for PDF files. Prior to 8.31.0, Gotenberg's /forms/pdfengines/metadata/write HTTP endpoint accepts a JSON metadata object and passes its keys directly to ExifTool via the go-exiftool library. No validation is performed on key characters. A \n embedded in a JSON key splits the ExifTool stdin stream into a new argument line, allowing an attacker to inject arbitrary ExifTool flags — including -if, which evaluates Perl expressions. This achieves unauthenticated OS command execution in a single HTTP request. The response is HTTP 200 with a valid PDF, making the attack transparent to basic monitoring. This vulnerability is fixed in 8.31.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS