CVE-2026-42590 in Gotenbergالمعلومات

الملخص

بحسب VulDB • 15/05/2026

Gotenberg هو واجهة برمجة تطبيقات (API) عديمة الحالة (stateless) مدعومة بـ Docker لملفات PDF. قبل الإصدار 8.30.0، يمكن تجاوز قائمة الحظر لكتابة بيانات التعريف (metadata) في ExifTool داخل Gotenberg باستخدام صيغة بادئة المجموعة (group-prefix syntax) الخاصة بـ ExifTool، مما يتيح إعادة تسمية الملفات عشوائياً، ونقلها، وإنشاء روابط صلبة (hardlinks) وروابط رمزية (symlinks) على الخادم. يدعم ExifTool صيغة بادئة المجموعة حيث يتم معالجة `File:FileName` بنفس طريقة `FileName` — حيث تتم إزالة البادئة بواسطة الدالة `SetNewValue` في الملف `Writer.pl` قبل مطابقة العلامة. يسمح التعبير النمطي `safeKeyPattern` (`^[a-zA-Z0-9\-_.:]+$`) بوضع النقطتين الرأسيتين، لذا فإن أسماء العلامات ذات البادئات تمر عبر عملية التحقق من الصحة. تعمل أي بادئة: `File:FileName`، `System:Directory`، `a:HardLink`، إلخ. بالإضافة إلى ذلك، لا يتم حظر العلامات الوهمية `FilePermissions` و`FileUserID` و`FileGroupID` على الإطلاق، ويمكنها تعديل سمات الملف دون الحاجة إلى أي بادئة. تم إصلاح هذا الثغرة الأمنية في الإصدار 8.30.0.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

29/04/2026

إفشاء

14/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-363920

CPE

جاهز

CWE

CWE-184 (مؤكد)

CVSS

8.2 (CNA)

EPSS

0.00069

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-42590
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-42590
CVE Details	https://www.cvedetails.com/cve/CVE-2026-42590/

التالي ▸نظرة عامة ◂ السابق

Interested in the pricing of exploits?

See the underground prices here!