CVE-2026-42591
🟠 Łataj w tym tygodniu
Błąd SSRF w Gotenberg umożliwia atakującym dostęp do zewnętrznych URL-i.
CVSS
8.2
EPSS
0.0%
Exploit
poc
Vendor
thecodingmachine
Opis źródłowy (NVD)
Gotenberg is a Docker-powered stateless API for PDF files. Prior to 8.32.0, the LibreOffice conversion endpoint (/forms/libreoffice/convert) passes uploaded documents directly to LibreOffice without inspecting their content. LibreOffice then fetches any embedded external URLs on its own, completely bypassing the SSRF filters. This vulnerability is fixed in 8.32.0.
exploit ssrf
Brak patcha
Źródła i daty
| Źródło | Wartość |
|---|---|
| NVD – CVSS | 8.2 |
| CISA KEV (aktywnie wykorzystywane) | Nie |
| FIRST EPSS (prawdopodobieństwo exploita) | 0.0% |
| Opublikowano (NVD) | 2026-05-14 16:16:22 UTC |
| Ostatnia modyfikacja (NVD) | 2026-05-18 13:02:13 UTC |
Referencje
- https://github.com/gotenberg/gotenberg/security/advisories/GHSA-rm4c-xj6x-49mw (security-advisories@github.com) [Exploit, Vendor Advisory]