CVE-2026-42594

Nome do Software Vulnerável e Versões Afetadas Gotenberg versões anteriores a 8.32.0

Descrição Uma falha no middleware de webhook permite que um chamador anônimo cause a queda do processo. O middleware inicia uma goroutine que mantém uma referência ao echo.Context após o manipulador síncrono retornar ErrAsyncProcess e o contexto ser reciclado de volta para o sync.Pool. Se uma requisição concorrente reivindicar este contexto reciclado e chamar c.Reset(), o armazenamento é limpo. Quando a goroutine do webhook subsequentemente atinge a função hardTimeoutMiddleware, uma asserção de tipo não verificada em uma entrada de armazenamento nula para a variável logger causa um pânico fora de qualquer escopo recover(), levando ao travamento do processo. Isso pode ser desencadeado por um estresse de aproximadamente 24 requisições de webhook e 60 requisições GET /version.

Recomendações Atualize para a versão 8.32.0. Como medida paliativa temporária, restrinja o acesso ao caminho do webhook apenas a usuários autorizados para minimizar o risco de exploração.