CVE-2026-39383

Nome do Software Vulnerável e Versões Afetadas Gotenberg versões 8.29.1 até 8.30.x

Descrição Um invasor não autenticado com acesso à rede pode forçar o servidor a fazer requisições HTTP POST externas para destinos internos ou externos arbitrários. Isso é feito fornecendo uma URL manipulada no cabeçalho de requisição Gotenberg-Webhook-Url. O problema ocorre na função FilterDeadline() em filter.go, que deve filtrar URLs de saída, mas retorna nil incondicionalmente quando tanto a lista de permissões quanto a de bloqueio estão vazias (configuração padrão), permitindo qualquer URL.

Trata-se de um Server-Side Request Forgery (SSRF) cego, o que significa que o servidor não retorna o corpo da resposta do alvo ao invasor. No entanto, um invasor pode sondar a infraestrutura de rede interna observando se a chamada de retorno de erro é invocada, forçar requisições POST contra serviços internos que executam efeitos colaterais e confirmar a acessibilidade de endpoints de metadados de nuvem. O impacto é amplificado por um cliente HTTP com repetição que realiza até 4 tentativas automáticas por requisição.

Recomendações Atualize para a versão 8.31.0. Como solução temporária, configure a variável de ambiente GOTENBERG API WEBHOOK ALLOW LIST para restringir as URLs de webhook a receptores conhecidos. Como solução temporária, defina GOTENBERG API WEBHOOK DENY LIST para bloquear intervalos de endereços RFC-1918 e link-local.