概要
ドキュメント 変換 API Gotenberg に 正規表現 DoS(ReDoS)の 脆弱性 が 報告 されています。バージョン 8.29.1 以前 で、Gotenberg は dlclark/regexp2 ライブラリ を 使用 して ユーザー 提供 の スコープ パターン を コンパイル しますが、適切 な タイムアウト が 設定 されて いません。
この ため、悪意 の ある 正規表現 パターン を 送信 する ことで ワーカー を 無期限 に ハング させ、サービス を 停止 させる ことが 可能 です。Gotenberg は HTML / Markdown / Office ドキュメント 等 を PDF に 変換 する API として 広く 利用 されており、Docker ベース で デプロイ する ケース が 多い ツール です。
正規表現 DoS(ReDoS)は、計算 量 が 指数関数的 に 増大 する パターン を 入力 する ことで、正規表現 エンジン の 処理 を 長時間 ブロック する 攻撃 手法 です。本 脆弱性 では タイムアウト が 未設定 の ため、ワーカー が 永続的 に ハング し、サービス 全体 の 可用性 に 影響 します。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSS v3 スコア | 9.8 (Critical) |
| 攻撃元区分 (AV) | ネットワーク |
| 攻撃条件の複雑さ (AC) | 低 |
| 必要な特権 (PR) | なし |
| ユーザー関与 (UI) | なし |
| 影響範囲 (S) | 変更なし |
| 機密性への影響 (C) | 高 |
| 完全性への影響 (I) | 高 |
| 可用性への影響 (A) | 高 |
影響を受けるソフトウェア
- 製品名: Gotenberg
- ベンダー: gotenberg
- 影響バージョン: 8.29.1 以前
- 言語 / エコシステム: Go
- デプロイ: Docker
修正バージョンと回避策
- Gotenberg の 最新版 へ アップデート してください
- アップデート が 困難 な 場合 の 緩和策:
- スコープ パターン 機能 へ の アクセス を 信頼 できる ユーザー に 制限 する
- リバースプロキシ で リクエスト タイムアウト を 設定 する
- Gotenberg の ワーカー 数 を 十分 に 確保 し、1 ワーカー の ハング が 全体 に 波及 しない よう にする
関連リンク
データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。