CVE-2026-23907 in PDFBoxinformación

Resumen

por MITRE • 2026-03-10

Este problema afecta al ejemplo ExtractEmbeddedFiles en Apache PDFBox: desde 2.0.24 hasta 2.0.35, desde 3.0.0 hasta 3.0.6.

El ejemplo ExtractEmbeddedFiles contiene una vulnerabilidad de salto de ruta (CWE-22) porque el nombre de archivo que se obtiene de PDComplexFileSpecification.getFilename() se añade a la ruta de extracción.

Los usuarios que han copiado este ejemplo en su código de producción deberían revisarlo para asegurarse de que la ruta de extracción es aceptable. El ejemplo ha sido modificado en consecuencia, ahora la ruta inicial y las rutas de extracción se convierten en rutas canónicas y se verifica que la ruta de extracción contiene la ruta inicial. La documentación también ha sido ajustada.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

Apache

Reservar

2026-01-19

Divulgación

2026-03-10

Moderación

aceptado

Artículo

VDB-349941

CPE

listo

CWE

CWE-22 (confirmado)

CVSS

5.3 (CISA-ADP)

EPSS

0.00047

KEV

Actividades

muy bajo

Fuentes

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-23907
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-23907
CVE Details	https://www.cvedetails.com/cve/CVE-2026-23907/

◂ Anterior Visión De Conjunto Próximo ▸

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!