つみかさね

CVE-2026-40281

Critical(10)

CVE-2026-40281 — Gotenberg ExifTool メタデータインジェクション

公開日: 2026-05-12データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
GotenbergGotenberg<= v8.30.1

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1Gotenbergのバージョンを確認する
  2. 2v8.30.1以前を使用している場合はパッチコミット405f1069を適用する
  3. 3即時アップデートが困難な場合はメタデータ書き込みエンドポイントへのアクセス制限を実施する

影響対象

Gotenberg利用者PDF変換API利用環境

補足

  • -CVSS 10.0の最高深刻度であり、認証不要で攻撃可能なため早急な対応が必要
CVEGotenbergDockerExifTool引数インジェクション

概要

GotenbergはDockerベースのステートレスなPDFファイル処理APIです。メタデータ書き込みエンドポイントにおいて、メタデータのキーに対する制御文字のバリデーションは実装されていましたが、メタデータの値に対するサニタイズ処理が欠落していました。攻撃者がメタデータ値に改行文字を挿入すると、ExifToolのstdin行が2つの引数に分割され、-FileName-Directory-SymLink-HardLink などの任意のExifTool疑似タグを注入できます。

認証不要のリモート攻撃者が、処理中のPDFファイルをコンテナファイルシステム上の任意のパスへリネーム・移動したり、任意のファイルを上書きしたり、シンボリックリンクやハードリンクを作成することが可能です。Dockerコンテナ内での操作ではありますが、コンテナからのエスケープや他のサービスへの影響につながる可能性があるため、速やかな対応が求められます。

CVSSベクトル

項目
CVSSスコア10.0(Critical)
CWECWE-88(引数インジェクション)
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な特権レベル不要

影響を受けるソフトウェア

製品ベンダー影響バージョン
GotenbergGotenbergv8.30.1 以前

修正バージョンと回避策

  • 修正: パッチコミット 405f1069 を適用してください
  • 回避策: メタデータ書き込みエンドポイントへのアクセスをネットワークレベルで制限する。認証機構の導入を検討してください

関連リンク

データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-40281
GHSA:https://github.com/gotenberg/gotenberg/security/advisories/GHSA-q7r4-hc83-hf2q
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。