CVE-2026-40281 in Gotenbergالمعلومات

الملخص

بحسب VulDB • 17/05/2026

Gotenberg هو واجهة برمجة تطبيقات (API) عديمة الحالة (stateless) تعمل بتقنية Docker لملفات PDF. في الإصدارات 8.30.1 والإصدارات الأقدم، تقوم نقطة نهاية كتابة البيانات الوصفية (metadata write endpoint) بالتحقق من مفاتيح البيانات الوصفية بحثًا عن أحرف تحكم، لكنها تترك قيم البيانات الوصفية غير مُطهّاة (unsanitized). يؤدي وجود حرف سطر جديد (newline character) في قيمة البيانات الوصفية إلى تقسيم سطر الإدخال القياسي (stdin) الخاص بـ ExifTool إلى حجتين منفصلتين، مما يتيح حقن وسوم ExifTool الزائفة (pseudo-tags) التعسفية مثل -FileName و -Directory و -SymLink و -HardLink. يُعد هذا اختراقًا لإصلاح عدم اكتمال تطهير المفاتيح (key-sanitization fix) الذي أُدخل في الإصدار v8.30.1. يمكن لمهاجم غير مُصادق عليه (unauthenticated attacker) إعادة تسمية أو نقل أي ملف PDF يتم معالجته إلى مسار تعسفي في نظام الملفات الخاص بالحاوية (container filesystem)، أو الكتابة فوق ملفات تعسفية، أو إنشاء روابط رمزية (symlinks) وروابط صلبة (hard links) في مسارات تعسفية.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

10/04/2026

إفشاء

07/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-361739

EPSS

0.00024

KEV

لا

النشاطات

منخفض

المصادر

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-40281
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-40281
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-40281/

التالي نظرة عامة السابق

Interested in the pricing of exploits?

See the underground prices here!