CVE-2026-33929

Name of the Vulnerable Software and Affected Versions Apache PDFBox versões 2.0.24 até 2.0.36 Apache PDFBox versões 3.0.0 até 3.0.7

Description O exemplo ExtractEmbeddedFiles contém um problema de path traversal (travessia de diretório), que ocorre quando uma aplicação não restringe adequadamente os nomes de caminhos usados para acessar arquivos, permitindo potencialmente o acesso a diretórios fora da pasta pretendida. Uma falha no processamento do separador de caminho permite que um PDF malicioso desencadeie tentativas de gravação em qualquer caminho que comece com o prefixo do diretório autorizado, como gravar em "/home/ABCDEF" quando o usuário possui permissões apenas para "/home/ABC".

Recommendations Atualizar as versões 2.0.24 até 2.0.36 para a versão 2.0.37. Atualizar as versões 3.0.0 até 3.0.7 para a versão 3.0.8. Aplicar a correção fornecida no GitHub PR 427 para as versões afetadas. Usuários que integraram o exemplo ExtractEmbeddedFiles em código de produção devem aplicar manualmente as alterações atualizadas do repositório do projeto.