PT-2025-29230 · Jgm+1 · Pandoc+1
Realestname
·
Publicado
2025-07-11
·
Atualizado
2026-01-24
·
CVE-2025-51591
CVSS v2.0
6.1
Média
| Vetor | AV:N/AC:H/Au:N/C:C/I:P/A:N |
Nome do Software Vulnerável e Versões Afetadas
JGM Pandoc versão 3.6.4
Descrição
Existe uma vulnerabilidade de Falsificação de Solicitação do Lado do Servidor (SSRF) no JGM Pandoc versão 3.6.4. Esta falha permite que invasores comprometam potencialmente toda a infraestrutura ao injetar um iframe manipulado. Relatos indicam exploração ativa desta falha, com hackers visando o Serviço de Metadados de Instância (IMDS) da Amazon Web Services (AWS) para roubar credenciais IAM do EC2. A vulnerabilidade permite que invasores façam solicitações não autorizadas ao AWS IMDS. A exploração envolve a criação de elementos iframe HTML maliciosos.
Recomendações
Atualize para uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
Correção
SSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Debian
Pandoc