Plataforma
php
Componente
stirling-pdf
Corregido en
2.0.1
CVE-2026-33436 es una vulnerabilidad de Cross-Site Scripting (XSS) presente en Stirling-PDF, una aplicación web local para la gestión de archivos PDF. Esta vulnerabilidad permite a un atacante inyectar código JavaScript malicioso en el navegador de un usuario al subir un archivo con un nombre especialmente diseñado. La vulnerabilidad afecta a versiones anteriores a la 2.0.0 y ha sido corregida en esta última versión.
La vulnerabilidad XSS en Stirling-PDF permite a un atacante ejecutar código JavaScript arbitrario en el contexto del usuario que realiza la carga del archivo. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. Un atacante podría, por ejemplo, inyectar código que capture las credenciales de acceso del usuario, comprometiendo así la seguridad de la aplicación y los datos asociados. La falta de sanitización de los nombres de archivo en las funciones de carga es la causa principal de esta vulnerabilidad, permitiendo la inyección directa de código HTML y JavaScript.
CVE-2026-33436 fue publicado el 2026-04-17. Actualmente no se dispone de información sobre explotación activa en campañas conocidas. La vulnerabilidad se considera de baja severidad según el CVSS 3.1. No se ha añadido a la lista KEV de CISA.
Organizations using Stirling-PDF for local PDF processing, particularly those with user-facing file upload functionality, are at risk. Shared hosting environments where multiple users have access to the same Stirling-PDF instance are especially vulnerable, as a malicious file uploaded by one user could impact other users.
• php: Examine application logs for unusual file upload activity, specifically looking for filenames containing JavaScript code (e.g., <script>alert('XSS')</script>).
• generic web: Use curl to test file upload endpoints with malicious filenames and observe the response HTML for signs of JavaScript execution.
curl -X POST -F "file=@malicious_file.pdf" http://your-stirling-pdf-instance/upload.php• generic web: Inspect the source code of file upload handling functions for inadequate sanitization of filenames before rendering them in HTML.
disclosure
Estado del Exploit
EPSS
0.05% (15% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-33436 es actualizar Stirling-PDF a la versión 2.0.0 o superior, que incluye la corrección de la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y sanitización rigurosa de todos los nombres de archivo antes de su uso en la generación de HTML. Además, se puede considerar el uso de un Web Application Firewall (WAF) para filtrar el tráfico malicioso y bloquear intentos de inyección de código. Es crucial revisar la configuración de la aplicación para asegurar que no se estén utilizando funciones que puedan ser explotadas para la inyección de código.
Actualice Stirling-PDF a la versión 2.0.0 o superior para mitigar la vulnerabilidad de XSS. Esta versión corrige el problema de renderizado inseguro de nombres de archivo en las funciones de carga de archivos, evitando la ejecución de código JavaScript malicioso en el navegador del usuario.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-33436 is a reflected Cross-Site Scripting (XSS) vulnerability in Stirling-PDF versions 1.0.0 through 1.9.9, allowing malicious JavaScript execution via crafted filenames.
You are affected if you are using Stirling-PDF versions 1.0.0 through 1.9.9 and have file upload functionality. Upgrade to version 2.0.0 to mitigate the risk.
Upgrade Stirling-PDF to version 2.0.0 or later. Implement input validation and sanitization on file upload endpoints as a temporary workaround.
There are currently no confirmed reports of active exploitation in the wild, but the ease of exploitation warrants caution.
Refer to the Stirling-PDF project's official website or repository for the latest security advisories and release notes.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.