Krytyczna luka w Gotenberg umożliwiająca zdalne wykonanie kodu

Luka CVE-2026-42589 w Gotenberg pozwala na zdalne wykonanie kodu przez niewalidowane dane JSON. Aktualizuj do wersji 8.31.0, aby zabezpieczyć system.
CVE-2026-42589CVSS 9.8Containers

Krytyczna luka w Gotenberg umożliwiająca zdalne wykonanie kodu

Luka CVE-2026-42589 w Gotenberg pozwala na zdalne wykonanie kodu przez niewalidowane dane JSON. Aktualizuj do wersji 8.31.0, aby zabezpieczyć system.

CVSS
9.8 CRITICAL
EPSS
85.48%
Aktywnie wykorzystywana
brak w KEV
Produkt
gotenberg

Co wiadomo

W Gotenberg przed wersją 8.31.0 endpoint /forms/pdfengines/metadata/write pozwala na wstrzyknięcie dowolnych flag do ExifTool poprzez niewalidowane klucze JSON, co umożliwia nieautoryzowane wykonanie poleceń systemowych. Atak jest niewidoczny dla podstawowego monitoringu, ponieważ odpowiedź to poprawny plik PDF z kodem HTTP 200.

Wpływ biznesowy

Luka o wysokim poziomie krytyczności (CVSS 9.8) pozwala atakującemu na zdalne wykonanie kodu bez uwierzytelnienia, co może prowadzić do przejęcia kontroli nad systemem hostującym kontenery Gotenberg. W środowiskach produkcyjnych wykorzystujących ten serwis do przetwarzania PDF istnieje ryzyko poważnych naruszeń bezpieczeństwa i utraty danych.

Rekomendowane działania administratora

Zaleca się niezwłoczne zaktualizowanie Gotenberg do wersji 8.31.0 lub nowszej, w której luka została załatana. W przypadku braku możliwości aktualizacji należy ograniczyć dostęp do endpointu /forms/pdfengines/metadata/write, monitorować logi pod kątem podejrzanych żądań oraz przeprowadzić przegląd polityk bezpieczeństwa kontenerów. Priorytetowo traktować wdrożenie poprawek i minimalizację ekspozycji usługi.

Źródła