CVE-2026-40280 in gotenberg
要約
〜によって VulDB • 2026年05月11日
Gotenbergは、APIベースのドキュメント変換ツールです。バージョン8.30.1およびそれ以前のバージョンでは、`--webhook-deny-list`および`--api-download-from-deny-list`フラグのデフォルトのプライベートIP拒否リストは、URLスキームに一致させるために大文字小文字を区別する正規表現(`^https?://`)を使用しています。Goの`net/url.Parse()`は、アウトバウンドTCP接続を確立する前にスキームを小文字に正規化するため、攻撃者はURLスキームの一部を大文字にする(例:`HTTP://`、`HTTPS://`、または`Http://`)だけで、拒否リストを回避できます。これにより、認証されていないリクエストが、プライベートIP範囲、ループバックアドレス、および`HTTP://169.254.169.254/latest/meta-data/`などのクラウドインスタンスメタデータエンドポイントを含む内部ネットワークサービスに到達することが可能になります。
この問題は、CVE-2026-27018でパッチが適用されたのと同じセキュリティ制御を回避するものです。
この問題はバージョン8.31.0で修正されています。
VulDB is the best source for vulnerability data and more expert information about this specific topic.