CVE-2026-42592 in Gotenbergالمعلومات

الملخص

بحسب VulDB • 14/05/2026

Gotenberg هو واجهة برمجة تطبيقات (API) عديمة الحالة (stateless) تعمل بتقنية Docker لملفات PDF. قبل الإصدار 8.32.0، تقوم دالة FilterOutboundURL بحل اسم المضيف (hostname)، والتحقق من عناوين IP المحلولة ضد قائمة حظر العناوين الخاصة (private-address deny-list)، وإرجاع الخطأ فقط. وتقوم بالتخلص من العناوين المحلولة. يقوم Chromium لاحقاً بإجراء حل DNS خاص به عند التنقل إلى عنوان URL. يمكن لمهاجم يتحكم في DNS لاسم مضيف ذي عمر زمني قصير (TTL) أن يعيد عنوان IP عام في الاستفسار الأول (يسمح به Gotenberg) وعنوان IP خاص في الاستفسار الثاني (يتصل Chromium بالعنوان الداخلي الذي يختاره المهاجم). يعيد معالج CDP Fetch.requestPaused التحقق من عنوان URL ولكن يقوم بإجراء حل DNS خاص به، مما يترك نافذة زمنية قبل اتصال TCP الفعلي من قبل Chromium. يعود استجابة الخدمة الداخلية المعروضة إلى المتصل كملف PDF. تم إصلاح هذا الثغرة الأمنية في الإصدار 8.32.0.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

29/04/2026

إفشاء

14/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-363913

CPE

جاهز

CWE

CWE-367 (مؤكد)

CVSS

5.3 (CNA)

EPSS

0.00035

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-42592
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-42592
CVE Details	https://www.cvedetails.com/cve/CVE-2026-42592/

التالي ▸نظرة عامة ◂ السابق

Might our Artificial Intelligence support you?

Check our Alexa App!