Plattform
java
Komponente
org.apache.pdfbox:pdfbox-examples
Behoben in
2.0.37
3.0.8
2.0.37
CVE-2026-33929 represents a Path Traversal vulnerability discovered within the Apache PDFBox Examples, specifically the ExtractEmbeddedFiles example. This flaw allows attackers to potentially access files outside the intended directory, leading to unauthorized data exposure. The vulnerability impacts versions 2.0.24 through 2.0.36 and 3.0.0 through 3.0.7. An update to version 2.0.37 or application of the fix in GitHub PR 427 is recommended.
Eine 'Path Traversal'-Schwachstelle (Pfadüberschreitung) wurde in den Apache PDFBox-Beispielen identifiziert, insbesondere im Beispiel ExtractEmbeddedFiles. Diese Schwachstelle (CWE-22) ermöglicht es einem Angreifer, auf Dateien außerhalb des vorgesehenen Verzeichnisses zuzugreifen, was potenziell die Vertraulichkeit und Integrität des Systems gefährdet. Sie betrifft Apache PDFBox-Versionen von 2.0.24 bis 2.0.36 und von 3.0.0 bis 3.0.7. Die Schwere der Schwachstelle wird mit CVSS 4.3 bewertet, was ein moderates Risiko anzeigt. Eine erfolgreiche Ausnutzung könnte es einem Angreifer ermöglichen, sensible Dateien auf dem Server zu lesen, abhängig von den konfigurierten Berechtigungen.
Die Schwachstelle wird über das Beispiel ExtractEmbeddedFiles in Apache PDFBox ausgenutzt. Ein Angreifer könnte die Eingabe, die dem Beispiel bereitgestellt wird, manipulieren, um Pfadüberschreitungssequenzen wie '..' (zwei Punkte) einzuschließen, die es ermöglichen, zu übergeordneten Verzeichnissen zu navigieren. Dies könnte den Zugriff auf Dateien außerhalb des vorgesehenen Arbeitsverzeichnisses ermöglichen, z. B. Konfigurationsdateien oder sensible Daten. Die Ausnutzung erfordert Zugriff auf das Beispiel ExtractEmbeddedFiles, was typischerweise die Ausführung des Beispielcodes mit ausreichenden Berechtigungen beinhaltet.
Organizations using Apache PDFBox Examples in their applications, particularly those deploying it as part of a larger Java-based system, are at risk. This includes developers integrating PDF processing capabilities into their applications and those using shared hosting environments where the PDFBox Examples component might be pre-installed.
• java / server:
# Check for vulnerable versions of pdfbox-examples
find / -name "pdfbox-examples*.jar" -exec java -jar {} org.apache.pdfbox.examples.ExtractEmbeddedFiles --version | grep -q '2.0.24-2.0.36' && echo "VULNERABLE"• generic web:
# Check for access to ExtractEmbeddedFiles endpoint
curl -I http://your-server/ExtractEmbeddedFilesdisclosure
Exploit-Status
EPSS
0.04% (12% Perzentil)
CVSS-Vektor
Um diese Schwachstelle zu beheben, empfehlen wir dringend, auf Version 2.0.37 oder 3.0.8 von Apache PDFBox zu aktualisieren, sobald diese verfügbar sind. In der Zwischenzeit wird eine Korrektur in GitHub Pull Request 427 bereitgestellt. Diese Korrektur beinhaltet die Änderung des Codes innerhalb des Beispiels ExtractEmbeddedFiles, um eine unbefugte Pfadmanipulation von Dateien zu verhindern. Es ist entscheidend, diese Korrektur so schnell wie möglich anzuwenden, um anfällige Systeme zu schützen. Wir empfehlen, die Sicherheitsupdates von Apache PDFBox zu überwachen, um die Anwendung der neuesten Patches sicherzustellen.
Actualice a la versión 2.0.37 o 3.0.8 una vez que estén disponibles. Si no es posible, aplique la corrección proporcionada en el pull request 427 de GitHub (https://github.com/apache/pdfbox/pull/427/changes) para mitigar la vulnerabilidad de recorrido de ruta.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Es ist eine Schwachstelle, die es einem Angreifer ermöglicht, auf Dateien und Verzeichnisse auf einem Webserver zuzugreifen, auf die er keinen Zugriff haben sollte, indem er Dateipfade manipuliert.
Wenn Sie Apache PDFBox in den betroffenen Versionen verwenden und die Korrektur nicht anwenden, könnte ein Angreifer potenziell sensible Dateien auf Ihrem Server zugreifen.
Sie finden ihn im Apache PDFBox-Repository auf GitHub: [Insert GitHub Link Here - Replace with actual link].
Wenden Sie die Korrektur an, die in GitHub Pull Request 427 bereitgestellt wird, als vorübergehende Maßnahme, bis Sie auf eine gepatchte Version aktualisieren können.
Diese Schwachstelle ist mit CVE-2026-23907 verbunden, die ebenfalls Apache PDFBox betrifft.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine pom.xml-Datei hoch und wir sagen dir sofort, ob du betroffen bist.