CVE-2026-40280

Nome do Software Vulnerável e Versões Afetadas Gotenberg versões 8.30.1 e anteriores

Descrição Gotenberg é uma ferramenta de conversão de documentos baseada em API. As listas de negação (deny-lists) de IP privado padrão para as flags --webhook-deny-list e --api-download-from-deny-list utilizam uma expressão regular sensível a maiúsculas e minúsculas para corresponder aos esquemas de URL. Como a função net/url.Parse() normaliza o esquema para letras minúsculas antes de estabelecer a conexão TCP de saída, um invasor pode burlar a lista de negação simplesmente capitalizando parte do esquema da URL (por exemplo, HTTP://, HTTPS:// ou Http://). Isso permite que solicitações não autenticadas alcancem serviços de rede interna, incluindo intervalos de IP privado, endereços de loopback e endpoints de metadados de instâncias em nuvem. O problema envolve a função FilterDeadline() e a lógica específica em pkg/modules/webhook/webhook.go e pkg/modules/api/api.go.

Recomendações Atualize o Gotenberg para a versão 8.31.0.