CVE-2026-42594 in GotenbergИнформация

Сводка

по VulDB • 14.05.2026

Gotenberg — это безсостояностный API для работы с PDF-файлами, работающий в Docker. До версии 8.32.0 вебхук-промежуточное ПО (middleware) запускает горутину, которая сохраняет ссылку на `echo.Context` запроса после того, как синхронный обработчик возвращает ошибку `ErrAsyncProcess`, а Echo возвращает контекст обратно в свой `sync.Pool`. Когда параллельный запрос захватывает этот переработанный контекст, вызов `c.Reset()` очищает хранилище. Если в этот момент горутина вебхука достигает `hardTimeoutMiddleware`, непроверенное приведение типа (type assertion) к nil-записи в хранилище вызывает панику вне области действия любого `recover()`, что приводит к аварийному завершению процесса Gotenberg. Любой анонимный пользователь может получить доступ к пути вебхука (список `webhook-deny-list` по умолчанию фильтрует только пункт назначения вебхука, но не отправителя). Одновременная нагрузка от одного источника, состоящая примерно из 24 запросов к вебхуку и ~60 запросов GET /version, приводит к краху процесса примерно за две секунды. Эта уязвимость исправлена в версии 8.32.0.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Ответственный

GitHub M

Резервировать

29.04.2026

Раскрытие

14.05.2026

Модерация

принято

Вход

VDB-363907

CPE

готов

CWE

CWE-362 (Подтверждённый)

CVSS

7.5 (CNA)

EPSS

0.00016

KEV

Нет

Деятельности

Очень низкий

Источники

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-42594
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-42594
CVE Details	https://www.cvedetails.com/cve/CVE-2026-42594/

◂ Предыдущий Обзор Далее ▸

Might our Artificial Intelligence support you?

Check our Alexa App!