CVE-2026-42589 in Gotenberg
요약
\~에 의해 VulDB • 2026. 05. 22.
Gotenberg는 Docker 기반의 상태 비저장 PDF API입니다. 버전 8.31.0 이전의 Gotenberg는 /forms/pdfengines/metadata/write HTTP 엔드포인트에서 JSON 메타데이터 객체를 받아 go-exiftool 라이브러리를 통해 ExifTool에 키를 직접 전달합니다. 키 문자에 대한 유효성 검사가 수행되지 않습니다. JSON 키에 포함된 \n은 ExifTool의 stdin 스트림을 새로운 인자 라인으로 분리하여 공격자가 임의의 ExifTool 플래그(Perl 표현식을 평가하는 -if 포함)를 주입할 수 있게 합니다. 이를 통해 단일 HTTP 요청으로 비인증 OS 명령어 실행이 가능합니다. 응답은 유효한 PDF와 함께 HTTP 200을 반환하므로, 기본 모니터링에는 공격이 투명하게 처리됩니다. 이 취약점은 8.31.0에서 수정되었습니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.