Krytyczna luka w Gotenberg umożliwiająca zdalne wykonanie kodu
Luka CVE-2026-42589 w Gotenberg pozwala na zdalne wykonanie kodu przez niewalidowane dane JSON. Aktualizuj do wersji 8.31.0, aby zabezpieczyć system.
- CVSS
- 9.8 CRITICAL
- EPSS
- 85.48%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- gotenberg
Co wiadomo
W Gotenberg przed wersją 8.31.0 endpoint /forms/pdfengines/metadata/write pozwala na wstrzyknięcie dowolnych flag do ExifTool poprzez niewalidowane klucze JSON, co umożliwia nieautoryzowane wykonanie poleceń systemowych. Atak jest niewidoczny dla podstawowego monitoringu, ponieważ odpowiedź to poprawny plik PDF z kodem HTTP 200.
Wpływ biznesowy
Luka o wysokim poziomie krytyczności (CVSS 9.8) pozwala atakującemu na zdalne wykonanie kodu bez uwierzytelnienia, co może prowadzić do przejęcia kontroli nad systemem hostującym kontenery Gotenberg. W środowiskach produkcyjnych wykorzystujących ten serwis do przetwarzania PDF istnieje ryzyko poważnych naruszeń bezpieczeństwa i utraty danych.
Rekomendowane działania administratora
Zaleca się niezwłoczne zaktualizowanie Gotenberg do wersji 8.31.0 lub nowszej, w której luka została załatana. W przypadku braku możliwości aktualizacji należy ograniczyć dostęp do endpointu /forms/pdfengines/metadata/write, monitorować logi pod kątem podejrzanych żądań oraz przeprowadzić przegląd polityk bezpieczeństwa kontenerów. Priorytetowo traktować wdrożenie poprawek i minimalizację ekspozycji usługi.