概要
Docker ベースの PDF 変換 API「Gotenberg」の downloadFrom 機能および Webhook 機能において、デフォルトの deny-list がバイパスされる SSRF 脆弱性が存在する。
deny-list は正規表現ベースかつ大文字小文字を区別する実装になっているため、http://[::ffff:127.0.0.1]:... のような IPv6 マップドアドレス形式の URL を渡すと、ループバックアドレスへのフィルターを回避できる。これにより、攻撃者は Gotenberg サーバーに対して内部ネットワーク上のサービスへのリクエストを発行させることができる。
クラウド環境では EC2 の 169.254.169.254 などのメタデータエンドポイントへの到達が可能になる場合があり、クレデンシャル窃取につながるリスクがある。
CVSSベクトル
| 要素 | 値 | 説明 |
|---|---|---|
| 攻撃経路(AV) | ネットワーク(N) | HTTP API 経由 |
| 攻撃の複雑さ(AC) | 低(L) | URL の形式変換のみで回避可能 |
| 必要な権限(PR) | 不要(N) | 認証なしで攻撃可能 |
| ユーザー操作(UI) | 不要(N) | 被害者の操作不要 |
| スコープ(S) | 変更あり(C) | 内部ネットワークへの影響 |
| 機密性(C) | 高(H) | 内部サービスの情報窃取が可能 |
| 完全性(I) | 低(L) | 限定的な書き込みが可能 |
| 可用性(A) | 低(L) | 内部サービスへの影響 |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| Gotenberg | Gotenberg プロジェクト | 8.31.0 未満 |
修正バージョンと回避策
修正バージョン: Gotenberg 8.31.0
deny-list の正規表現が修正され、IPv6 マップドアドレスを含む各種バイパス手法に対応した。
docker pull gotenberg/gotenberg:8.31.0
緩和策として:
downloadFrom機能の利用を制限するか、許可 URL を allowlist 方式で明示的に指定する- Gotenberg コンテナのネットワークポリシーで内部ネットワークへの直接通信を制限する
関連リンク
データソース: NVD (NIST), GitHub Advisory Database
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。