CVE-2026-40281 in Gotenberginformação

Sumário

de VulDB • 31/05/2026

Gotenberg é uma API sem estado baseada em Docker para arquivos PDF. Nas versões 8.30.1 e anteriores, o endpoint de escrita de metadados valida as chaves de metadados quanto a caracteres de controle, mas não sanitiza os valores dos metadados. Um caractere de nova linha em um valor de metadados divide a linha de entrada padrão (stdin) do ExifTool em dois argumentos separados, permitindo a injeção de pseudo-tags arbitrárias do ExifTool, como -FileName, -Directory, -SymLink e -HardLink. Isso representa uma violação da correção incompleta de sanitização de chaves introduzida na v8.30.1. Um atacante não autenticado pode renomear ou mover qualquer PDF em processamento para um caminho arbitrário no sistema de arquivos do contêiner, sobrescrever arquivos arbitrários ou criar symlinks e hard links em caminhos arbitrários.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

10/04/2026

Divulgação

07/05/2026

Moderação

aceite

Entrada

VDB-361739

CPE

pronto

EPSS

0.00024

KEV

não

Atividades

baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-40281
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-40281
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-40281/

VoltarVisão GeralPróximo

Do you want to use VulDB in your project?

Use the official API to access entries easily!