CVE-2026-42593 in Gotenbergالمعلومات

الملخص

بحسب VulDB • 14/05/2026

Gotenberg هو واجهة برمجة تطبيقات (API) عديمة الحالة (stateless) تعمل بنظام Docker لملفات PDF. قبل الإصدار 8.32.0، تقبل المسارات pdfengines/merge، وpdfengines/split، وlibreoffice/convert، وchromium/convert/url، وchromium/convert/html، وchromium/convert/markdown المعاملات stampSource=pdf + stampExpression=/path وwatermarkSource=pdf + watermarkExpression=/path من متصلين مجهولين (anonymous callers). تتطلب مسارات الطوابع/علامات الماء المخصصة رفع ملف عندما يكون نوع المصدر صورة أو PDF؛ وهذه المسارات الستة تقوم فقط بتجاوز التعبير (expression) عند رفع ملف، تاركةً المسار الذي يتحكم فيه المستخدم سليماً عند عدم إرفاق ملف. يفتح pdfcpu المسار ويدمج صفحاته مع ملف PDF الناتج، والذي يُعاد إلى المتصل. يمكن للمهاجم قراءة أي ملف PDF يمكن لـ عملية Gotenberg الوصول إليه في نظام الملفات للحاوية (container filesystem). تم إصلاح هذا الثغرة في الإصدار 8.32.0.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

29/04/2026

إفشاء

14/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-363914

CPE

جاهز

CWE

CWE-22 (مؤكد)

CVSS

5.3 (CNA)

EPSS

0.00076

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-42593
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-42593
CVE Details	https://www.cvedetails.com/cve/CVE-2026-42593/

التالي ▸نظرة عامة ◂ السابق

Do you know our Splunk app?

Download it now for free!