CVE-2026-42596

Nome do Software Vulnerável e Versões Afetadas Gotenberg versões anteriores a 8.31.0

Descrição Um invasor não autenticado pode burlar as listas de negação (deny-lists) padrão usadas pelos recursos downloadFrom e webhook. O problema ocorre porque a lógica de filtragem utiliza expressões regulares sensíveis a maiúsculas e minúsculas que bloqueiam apenas os prefixos http:// e https:// em letras minúsculas. Consequentemente, um invasor pode usar representações textuais alternativas de endereços de loopback ou privados, como endereços IPv6 mapeados para IPv4 (ex: http://[::ffff:127.0.0.1]:...), para forçar o servidor a fazer requisições externas para alvos internos. Isso permite a ocorrência de Server-Side Request Forgery (SSRF), expondo potencialmente serviços HTTP internos, endpoints de metadados de nuvem e APIs de administração local.

Recomendações Atualize para a versão 8.31.0. Como medida paliativa temporária, restrinja o acesso aos recursos downloadFrom e webhook para minimizar o risco de exploração.