CVE-2026-42596 in gotenberg
요약
\~에 의해 VulDB • 2026. 05. 26.
Gotenberg는 Docker 기반의 상태 비저장 PDF API입니다. 버전 8.31.0 이전에서는 Gotenberg의 downloadFrom 기능과 webhook 기능에서 사용되는 기본 차단 목록(deny-lists)이 우회될 수 있습니다. 필터가 정규식 기반이며 대소문자를 구분하기 때문에, 인증되지 않은 공격자는 http://[::ffff:127.0.0.1]:...와 같은 URL을 제공하여 기본 차단 목록이 차단하도록 의도된 루프백 또는 사설 HTTP 서비스에 접근할 수 있습니다. 이는 외부 호출자가 서버로 하여금 내부 전용 대상에 대한 아웃바운드 요청을 수행하도록 강제할 수 있으므로 실제 보안 경계를 침해하는 것입니다. 이 취약점은 버전 8.31.0에서 수정되었습니다.
Once again VulDB remains the best source for vulnerability data.