つみかさね

CVE-2026-42589

Critical(9.8)

CVE-2026-42589 — Gotenberg ExifToolメタデータキーインジェクションによる認証なしRCE

公開日: 2026-05-08データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
gotenberggotenbergv8 系全バージョン(修正なし)

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1Gotenberg v8 を使用しているか確認する
  2. 2Gotenberg の API がインターネットに直接公開されていないか確認する
  3. 3ファイアウォールまたはリバースプロキシでアクセスを信頼できるネットワークに制限する
  4. 4ベンダーからの修正リリースを継続的に監視する

影響対象

Gotenberg を利用する PDF 生成システムの運用者

補足

  • -修正バージョンが未提供のため、ネットワークレベルでのアクセス制限が現時点での唯一の緩和策です
CVERCEGotenbergExifToolGoCWE-77

概要

Gotenberg は PDF 生成を行うオープンソースの API サーバーで、Docker コンテナとして広く利用されています。HTML、Markdown、Office ドキュメントなどを PDF に変換する機能を提供し、多くの Web アプリケーションのバックエンドとして採用されています。

本脆弱性は Gotenberg v8 系において、ExifTool のメタデータ処理におけるキーインジェクションを通じて、認証なしでリモートコード実行(RCE)が可能となるものです。攻撃者は細工したメタデータキーを含むリクエストを Gotenberg の API エンドポイントに送信することで、サーバー上で任意のコマンドを実行できます。

本脆弱性に対する修正バージョンは現時点で提供されていません。 Gotenberg をインターネットに公開している環境、または信頼できないユーザーからのリクエストを受け付けている環境では、即座にネットワークレベルでのアクセス制限を実施する必要があります。認証機構が標準で備わっていないため、ファイアウォールやリバースプロキシによるアクセス制御が唯一の緩和策となります。

CVSSベクトル

指標
CVSSスコア9.8
深刻度Critical
CWECWE-77 (コマンドインジェクション)
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な特権レベル不要

影響を受けるソフトウェア

製品ベンダー影響バージョン
gotenberggotenbergv8 系全バージョン(修正なし)

修正バージョンと回避策

  • 修正バージョン: 現時点で修正バージョンは提供されていません。ベンダーからの修正リリースを注視してください
  • 回避策(必須): Gotenberg の API エンドポイントへのアクセスを、ファイアウォールまたはリバースプロキシを用いて信頼できる内部ネットワークのみに制限してください
  • 確認事項: Gotenberg がインターネットに直接公開されていないことを確認してください。Docker の公開ポート設定(-p オプション)で外部公開されていないか点検してください

関連リンク

データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-42596Gotenberg SSRF脆弱性CVSS 9.1

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-42589
GitHub Advisory:https://github.com/gotenberg/gotenberg/security/advisories/GHSA-rqgh-gxv4-6657
GitHub:https://github.com/gotenberg/gotenberg
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。