Plateforme
other
Composant
stirling-pdf
Corrigé dans
1.1.1
La vulnérabilité CVE-2025-55150 affecte Stirling-PDF, une application web hébergée localement pour la manipulation de fichiers PDF. Avant la version 1.1.0, l'endpoint /api/v1/convert/html/pdf permettait de contourner la sanitisation, ouvrant la porte à une attaque de SSRF. Cette vulnérabilité a été corrigée dans la version 1.1.0. Il est crucial de mettre à jour l'application pour atténuer ce risque.
Une attaque de SSRF (Server-Side Request Forgery) permet à un attaquant de forcer le serveur Stirling-PDF à effectuer des requêtes vers des ressources internes ou externes non destinées à être accessibles. Cela peut conduire à la divulgation d'informations sensibles, telles que des fichiers de configuration, des données d'identification ou des informations sur l'infrastructure interne. L'attaquant pourrait également utiliser cette vulnérabilité pour accéder à des services internes, potentiellement compromettant d'autres systèmes au sein du réseau. Le risque est amplifié si Stirling-PDF est exposé publiquement, permettant à des attaquants externes de lancer des attaques SSRF.
La vulnérabilité CVE-2025-55150 a été rendue publique le 2025-08-11. Aucune preuve d'exploitation active n'est actuellement disponible. La probabilité d'exploitation est considérée comme moyenne en raison de la nature de la vulnérabilité SSRF et de la nécessité d'une interaction avec l'application.
Organizations utilizing Stirling-PDF for internal PDF generation and processing are at risk, particularly those with sensitive internal resources accessible via HTTP/HTTPS. Environments where Stirling-PDF is exposed to untrusted networks or user-supplied HTML content are at higher risk.
disclosure
Statut de l'Exploit
EPSS
0.06% (percentile 20%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Stirling-PDF vers la version 1.1.0 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, envisagez de mettre en place des règles de pare-feu applicatif (WAF) pour bloquer les requêtes suspectes vers l'endpoint /api/v1/convert/html/pdf. Il est également recommandé de limiter l'accès à Stirling-PDF aux seuls utilisateurs autorisés et de surveiller attentivement les journaux d'accès pour détecter toute activité suspecte. En attendant la mise à jour, une configuration plus stricte du serveur tiers utilisé pour le traitement HTML pourrait réduire la surface d'attaque.
Mettez à jour Stirling-PDF à la version 1.1.0 ou supérieure. Cette version contient une correction pour la vulnérabilité SSRF sur le point de terminaison /api/v1/convert/html/pdf. La mise à jour atténuera le risque que des attaquants externes puissent effectuer des requêtes non autorisées via votre serveur.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-55150 est une vulnérabilité de SSRF (Server-Side Request Forgery) dans Stirling-PDF, permettant à un attaquant de forcer le serveur à effectuer des requêtes vers des ressources internes.
Vous êtes affecté si vous utilisez Stirling-PDF dans une version inférieure ou égale à 1.1.0.
Mettez à jour Stirling-PDF vers la version 1.1.0 ou supérieure. En attendant, configurez un WAF pour bloquer les requêtes suspectes.
À l'heure actuelle, aucune preuve d'exploitation active n'est disponible, mais la probabilité reste moyenne.
Consultez le site web officiel de Stirling-PDF ou leur page de sécurité pour obtenir les informations les plus récentes sur cette vulnérabilité.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.