製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

TheCodingMachineのGotenbergにおける引数の挿入または変更に関する脆弱性

タイトル	TheCodingMachineのGotenbergにおける引数の挿入または変更に関する脆弱性
概要	GotenbergはPDFファイル向けのDockerベースのステートレスAPIです。バージョン8.30.1以前では、メタデータ書き込みエンドポイントがメタデータキーの制御文字を検証しますが、メタデータ値のサニタイズは行っていません。メタデータ値に改行文字が含まれると、ExifToolの標準入力行が2つの別々の引数に分割され、-FileName、-Directory、-SymLink、-HardLinkなどの任意のExifTool擬似タグを挿入可能になります。これはv8.30.1で導入された不完全なキーサニタイズ対策をバイパスする手法です。認証されていない攻撃者は、処理中の任意のPDFをコンテナのファイルシステム内の任意のパスに名前変更または移動でき、任意のファイルを上書きしたり、任意のパスにシンボリックリンクやハードリンクを作成したりすることが可能です。
想定される影響	当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
対策	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年5月6日0:00
登録日	2026年5月12日10:20
最終更新日	2026年5月12日10:20

CVSS3.0 : 緊急
スコア	9.1
ベクター	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H

影響を受けるシステム

TheCodingMachine

Gotenberg 8.31.0 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-40281	https://www.cve.org/CVERecord?id=CVE-2026-40281
National Vulnerability Database (NVD)
2	CVE-2026-40281	https://nvd.nist.gov/vuln/detail/CVE-2026-40281

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-88	https://cwe.mitre.org/data/definitions/88.html

ベンダー情報

No	名前	URL
GitHub
1	ExifTool stdin argument injection via metadata value newlines (bypass of key sanitization fix in v8.30.1) Advisory gotenberg/gotenberg GitHub	https://github.com/gotenberg/gotenberg/security/advisories/GHSA-q7r4-hc83-hf2q

その他

No	名前	URL
関連文書
1	fix(exitool): prevent control characters gotenberg/gotenberg@405f106 GitHub	https://github.com/gotenberg/gotenberg/commit/405f1069c026bb08f319fb5a44e5c67c33208318

変更履歴

No	変更内容	変更日
1	[2026年05月12日] 掲載	2026年5月12日10:20

NVD脆弱性情報

CVE-2026-40281

概要	Gotenberg is a Docker-powered stateless API for PDF files. In versions 8.30.1 and earlier, the metadata write endpoint validates metadata keys for control characters but leaves metadata values unsanitized. A newline character in a metadata value splits the ExifTool stdin line into two separate arguments, allowing injection of arbitrary ExifTool pseudo-tags such as -FileName, -Directory, -SymLink, and -HardLink. This is a bypass of the incomplete key-sanitization fix introduced in v8.30.1. An unauthenticated attacker can rename or move any PDF being processed to an arbitrary path in the container filesystem, overwrite arbitrary files, or create symlinks and hard links at arbitrary paths.
公表日	2026年5月7日6:16
登録日	2026年5月8日4:09
最終更新日	2026年5月11日23:46

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:thecodingmachine:gotenberg::::::::					8.31.0

関連情報、対策とツール

No	URL	refsource	タグ
1	https://github.com/gotenberg/gotenberg/commit/405f1069c026bb08f319fb5a44e5c67c33208318	security-advisories@github.com
2	https://github.com/gotenberg/gotenberg/security/advisories/GHSA-q7r4-hc83-hf2q	security-advisories@github.com
3	https://github.com/gotenberg/gotenberg/security/advisories/GHSA-q7r4-hc83-hf2q	134c704f-9b21-4f2e-91b3-4a467353bcc0

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-88	引数の挿入または変更	https://cwe.mitre.org/data/definitions/88.html