CVE-2026-40280 in gotenberg
요약
\~에 의해 VulDB • 2026. 05. 10.
Gotenberg은 API 기반 문서 변환 도구입니다. 버전 8.30.1 및 이전 버전에서 `--webhook-deny-list` 및 `--api-download-from-deny-list` 플래그의 기본값인 사설 IP 차단 목록은 URL 스키마를 일치시키기 위해 대소문자를 구분하는 정규식(`^https?://`)을 사용합니다. Go의 `net/url.Parse()`는 외부 TCP 연결을 설정하기 전에 스키마를 소문자로 정규화하므로, 공격자는 URL 스키마의 일부만 대문자로 표기하는 것(예: `HTTP://`, `HTTPS://`, 또는 `Http://`)으로 차단 목록을 우회할 수 있습니다. 이를 통해 인증되지 않은 요청이 사설 IP 범위, 루프백 주소 및 `HTTP://169.254.169.254/latest/meta-data/`와 같은 클라우드 인스턴스 메타데이터 엔드포인트를 포함한 내부 네트워크 서비스에 도달할 수 있습니다.
이 문제는 CVE-2026-27018에서 패치된 것과 동일한 보안 제어 장치를 우회합니다.
이 문제는 버전 8.31.0에서 수정되었습니다.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.