CVE-2026-40281

Nome do Software Vulnerável e Versões Afetadas Gotenberg versões 8.x até 8.30.1

Description Um problema de validação inadequada de entrada existe no endpoint de gravação de metadados '/forms/pdfengines/metadata/write'. Embora as chaves de metadados sejam validadas, os valores dos metadados são passados sem sanitização para a função WriteMetadata(). Um invasor pode injetar um caractere de nova linha ( ) em um valor de metadados para dividir a linha de stdin do ExifTool, permitindo a injeção de pseudo-tags arbitrárias do ExifTool, como -FileName, -Directory, -SymLink e -HardLink.

Isso pode permitir que um invasor não autenticado renomeie ou mova PDFs processados para caminhos arbitrários no sistema de arquivos do contêiner, sobrescreva arquivos do sistema ou crie links simbólicos e links rígidos em caminhos arbitrários.

Recommendations Atualize para a versão 8.31.0. Como medida paliativa temporária, restrinja o acesso ao endpoint '/forms/pdfengines/metadata/write' para minimizar o risco de exploração.