Krytyczna luka w gotenberg umożliwiająca zdalną manipulację plikami PDF

Krytyczna luka w gotenberg pozwala na zdalną zmianę i nadpisywanie plików PDF w kontenerze. Zalecane szybkie aktualizacje i monitorowanie systemu.
CVE-2026-40281CVSS 10.0Containers

Krytyczna luka w gotenberg umożliwiająca zdalną manipulację plikami PDF

Krytyczna luka w gotenberg pozwala na zdalną zmianę i nadpisywanie plików PDF w kontenerze. Zalecane szybkie aktualizacje i monitorowanie systemu.

CVSS
10.0 CRITICAL
EPSS
44.91%
Aktywnie wykorzystywana
brak w KEV
Produkt
gotenberg

Co wiadomo

W wersjach gotenberg 8.30.1 i wcześniejszych luka pozwala na wstrzyknięcie złośliwych poleceń do ExifTool poprzez nieprawidłowo oczyszczone wartości metadanych. Atakujący bez uwierzytelnienia może zmieniać nazwy, przenosić pliki PDF oraz nadpisywać lub tworzyć dowiązania do plików w systemie kontenera.

Wpływ biznesowy

Luka o krytycznej ocenie CVSS 10.0 umożliwia atakującemu pełną kontrolę nad plikami PDF przetwarzanymi przez gotenberg, co może prowadzić do utraty integralności danych, eskalacji uprawnień oraz potencjalnego przejęcia kontroli nad środowiskiem kontenera. Organizacje korzystające z gotenberg powinny traktować tę podatność jako priorytetową do zaadresowania, aby zapobiec poważnym incydentom bezpieczeństwa.

Rekomendowane działania administratora

Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji od dostawcy gotenberg i ich wdrożenie. W przypadku braku łatki należy ograniczyć dostęp do API, monitorować logi pod kątem podejrzanej aktywności oraz rozważyć izolację środowiska kontenerowego. Priorytetem jest eliminacja możliwości wstrzyknięcia złośliwych danych do metadanych PDF.

Źródła