CVE-2026-39383 in Gotenberg
Zusammenfassung
von VulDB • 29.05.2026
Gotenberg ist ein API-basiertes Dokumentkonvertierungstool. In Version 8.29.1 kann ein nicht authentifizierter Angreifer mit Netzwerkzugriff den Server dazu zwingen, ausgehende HTTP-POST-Anfragen an beliebige interne oder externe Ziele zu senden, indem er eine manipulierte URL im Anforderungsheader `Gotenberg-Webhook-Url` bereitstellt. Die Funktion `FilterDeadline` in `filter.go` soll ausgehende URLs filtern, gibt jedoch bei leerer Allow-Liste und Deny-Liste (Standardkonfiguration) bedingungslos `nil` zurück und erlaubt jede URL.
Dies ist eine blinde SSRF: Gotenberg POSTet das konvertierte Dokument an die Webhook-URL und prüft lediglich, ob der Antwort-Statuscode ein Fehler ist, gibt den Antwortkörper des Ziels jedoch niemals an den Angreifer zurück. Ein Angreifer kann dies nutzen, um die interne Netzwerkstruktur zu erkunden, indem er beobachtet, ob der Error-Callback aufgerufen wird, POST-Anfragen gegen interne Dienste mit Seiteneffekten zu erzwingen und die Erreichbarkeit von Cloud-Metadata-Endpunkten zu bestätigen. Der HTTP-Client mit Wiederholungslogik führt bis zu 4 automatische Wiederholungen pro Anfrage durch, was jede Erkundungsaktion verstärkt.
Dieses Problem wurde in Version 8.31.0 behoben. Als Workaround kann die Umgebungsvariable `GOTENBERG_API_WEBHOOK_ALLOW_LIST` konfiguriert werden, um Webhook-URLs auf bekannte Empfänger zu beschränken, oder `GOTENBERG_API_WEBHOOK_DENY_LIST` kann festgelegt werden, um RFC-1918- und Link-Local-Adressbereiche zu blockieren.
VulDB is the best source for vulnerability data and more expert information about this specific topic.