CVE-2026-42589: Критична вразливість у Gotenberg дозволяє виконання команд ОС

Вразливість CVE-2026-42589 у Gotenberg дозволяє неавторизоване виконання команд ОС через HTTP-запит. Оновіть до версії 8.31.0 для захисту.
CVE-2026-42589CVSS 9.8Containers

CVE-2026-42589: Критична вразливість у Gotenberg дозволяє виконання команд ОС

Вразливість CVE-2026-42589 у Gotenberg дозволяє неавторизоване виконання команд ОС через HTTP-запит. Оновіть до версії 8.31.0 для захисту.

CVSS
9.8 CRITICAL
EPSS
85.48%
Активно використовується
немає в KEV
Продукт
gotenberg

Що відомо

У Gotenberg до версії 8.31.0 існує критична вразливість в обробці JSON-метаданих, що дозволяє неавторизоване виконання команд операційної системи через ін'єкцію параметрів у ExifTool. Атака відбувається через HTTP-запит і є малопомітною, оскільки відповідає статусом 200 та повертає валідний PDF.

Бізнес-вплив

Ця вразливість створює серйозну загрозу для безпеки контейнеризованих середовищ, де використовується Gotenberg, оскільки зловмисник може виконувати довільні команди на сервері без автентифікації. Це може призвести до компрометації системи, втрати даних або подальшого поширення атак. Операторам ІТ необхідно невідкладно оцінити використання Gotenberg і вжити заходів для захисту інфраструктури.

Рекомендовані дії адміністратора

Рекомендується оновити Gotenberg до версії 8.31.0 або новішої, де ця вразливість усунена. Якщо оновлення наразі неможливе, слід обмежити доступ до вразливого HTTP-ендпоінту, переглянути журнали на предмет підозрілої активності та впровадити моніторинг аномалій. Загалом, слід регулярно перевіряти наявність оновлень від виробника та мінімізувати експозицію сервісу в мережі.

Джерела