CVE-2026-42594 in Gotenberginformação

Sumário

de VulDB • 14/05/2026

O Gotenberg é uma API sem estado baseada em Docker para arquivos PDF. Antes da versão 8.32.0, o middleware de webhook cria uma goroutine que mantém uma referência ao echo.Context da solicitação após o manipulador síncrono retornar ErrAsyncProcess e o Echo reciclar o contexto de volta ao seu sync.Pool. Quando uma solicitação concorrente assume o contexto reciclado, c.Reset() limpa o armazenamento. Se a goroutine do webhook atingir o hardTimeoutMiddleware nesse momento, uma asserção de tipo não verificada em uma entrada de armazenamento nula causa um pânico fora de qualquer escopo de recover(), fazendo com que o processo do Gotenberg falhe. Qualquer chamador anônimo pode acessar o caminho do webhook (a lista de exclusão padrão de webhooks filtra apenas o destino do webhook, não o remetente). Um estresse de fonte única de aproximadamente 24 solicitações de webhook mais aproximadamente 60 solicitações GET /version faz com que o processo falhe em cerca de dois segundos. Esta vulnerabilidade foi corrigida na versão 8.32.0.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

29/04/2026

Divulgação

14/05/2026

Moderação

aceite

Entrada

VDB-363907

CPE

pronto

EPSS

0.00016

KEV

não

Atividades

muito baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-42594
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-42594
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-42594/

VoltarVisão GeralPróximo

Might our Artificial Intelligence support you?

Check our Alexa App!