S-Senhaji

**Nome do Software Vulnerável e Versões Afetadas** Gotenberg versões anteriores a 8.31.0 **Descrição** Um invasor remoto não autenticado pode obter a execução de comandos do sistema operacional através do endpoint '/forms/pdfengines/metadata/write'. A aplicação aceita um objeto de metadados JSON e passa suas chaves para o ExifTool sem validar caracteres de controle. Ao inserir um caractere de nova linha (` `) dentro de uma chave JSON, um invasor pode dividir o fluxo de entrada para injetar flags arbitrárias do ExifTool. Especificamente, a flag `-if` pode ser usada para avaliar expressões Perl, levando à execução de código arbitrário. O ataque é transparente ao monitoramento básico, pois o servidor retorna uma resposta HTTP 200 com um PDF válido. **Recomendações** Atualize para a versão 8.31.0. Como mitigação temporária, restrinja o acesso ao endpoint '/forms/pdfengines/metadata/write' ou coloque o serviço atrás de um proxy reverso autenticado para evitar o acesso não confiável à porta 3000.

**Nome do Software Vulnerável e Versões Afetadas** Gotenberg versões 8.29.1 até 8.30.x **Descrição** Um invasor não autenticado com acesso à rede pode forçar o servidor a fazer requisições HTTP POST externas para destinos internos ou externos arbitrários. Isso é feito fornecendo uma URL manipulada no cabeçalho de requisição `Gotenberg-Webhook-Url`. O problema ocorre na função `FilterDeadline()` em `filter.go`, que deve filtrar URLs de saída, mas retorna nil incondicionalmente quando tanto a lista de permissões quanto a de bloqueio estão vazias (configuração padrão), permitindo qualquer URL. Trata-se de um Server-Side Request Forgery (SSRF) cego, o que significa que o servidor não retorna o corpo da resposta do alvo ao invasor. No entanto, um invasor pode sondar a infraestrutura de rede interna observando se a chamada de retorno de erro é invocada, forçar requisições POST contra serviços internos que executam efeitos colaterais e confirmar a acessibilidade de endpoints de metadados de nuvem. O impacto é amplificado por um cliente HTTP com repetição que realiza até 4 tentativas automáticas por requisição. **Recomendações** Atualize para a versão 8.31.0. Como solução temporária, configure a variável de ambiente `GOTENBERG API WEBHOOK ALLOW LIST` para restringir as URLs de webhook a receptores conhecidos. Como solução temporária, defina `GOTENBERG API WEBHOOK DENY LIST` para bloquear intervalos de endereços RFC-1918 e link-local.