CVE-2026-42589: Критична вразливість у Gotenberg дозволяє виконання команд ОС
Вразливість CVE-2026-42589 у Gotenberg дозволяє неавторизоване виконання команд ОС через HTTP-запит. Оновіть до версії 8.31.0 для захисту.
- CVSS
- 9.8 CRITICAL
- EPSS
- 85.48%
- Активно використовується
- немає в KEV
- Продукт
- gotenberg
Що відомо
У Gotenberg до версії 8.31.0 існує критична вразливість в обробці JSON-метаданих, що дозволяє неавторизоване виконання команд операційної системи через ін'єкцію параметрів у ExifTool. Атака відбувається через HTTP-запит і є малопомітною, оскільки відповідає статусом 200 та повертає валідний PDF.
Бізнес-вплив
Ця вразливість створює серйозну загрозу для безпеки контейнеризованих середовищ, де використовується Gotenberg, оскільки зловмисник може виконувати довільні команди на сервері без автентифікації. Це може призвести до компрометації системи, втрати даних або подальшого поширення атак. Операторам ІТ необхідно невідкладно оцінити використання Gotenberg і вжити заходів для захисту інфраструктури.
Рекомендовані дії адміністратора
Рекомендується оновити Gotenberg до версії 8.31.0 або новішої, де ця вразливість усунена. Якщо оновлення наразі неможливе, слід обмежити доступ до вразливого HTTP-ендпоінту, переглянути журнали на предмет підозрілої активності та впровадити моніторинг аномалій. Загалом, слід регулярно перевіряти наявність оновлень від виробника та мінімізувати експозицію сервісу в мережі.