Plateforme
java
Composant
org.apache.pdfbox:pdfbox-examples
Corrigé dans
2.0.37
3.0.8
2.0.37
La vulnérabilité Path Traversal dans Apache PDFBox Examples, affectant les versions inférieures ou égales à 2.0.36 et 3.0.7, permet à un attaquant de potentiellement accéder à des fichiers sensibles en dehors du répertoire prévu. Cette faille, classée comme CWE-22, est présente dans l'exemple ExtractEmbeddedFiles. Une mise à jour vers la version 2.0.37 ou 3.0.8 est recommandée, ou l'application du correctif disponible sur GitHub PR 427 en attendant.
Une vulnérabilité de 'Path Traversal' (traversée de chemin) a été identifiée dans les exemples Apache PDFBox, spécifiquement dans l'exemple ExtractEmbeddedFiles. Cette vulnérabilité (CWE-22) permet à un attaquant d'accéder à des fichiers en dehors du répertoire prévu, compromettant potentiellement la confidentialité et l'intégrité du système. Elle affecte les versions Apache PDFBox de 2.0.24 à 2.0.36 et de 3.0.0 à 3.0.7. La gravité de la vulnérabilité est notée CVSS 4.3, indiquant un risque modéré. Une exploitation réussie pourrait permettre à un attaquant de lire des fichiers sensibles sur le serveur, en fonction des permissions configurées.
La vulnérabilité est exploitée via l'exemple ExtractEmbeddedFiles dans Apache PDFBox. Un attaquant peut manipuler l'entrée fournie à l'exemple pour inclure des séquences de traversée de chemin, telles que '..' (deux points), ce qui permet de naviguer vers les répertoires parents. Cela pourrait permettre d'accéder à des fichiers en dehors du répertoire de travail prévu, tels que des fichiers de configuration ou des données sensibles. L'exploitation nécessite un accès à l'exemple ExtractEmbeddedFiles, impliquant généralement l'exécution du code de l'exemple avec des privilèges suffisants.
Organizations using Apache PDFBox Examples in their applications, particularly those deploying it as part of a larger Java-based system, are at risk. This includes developers integrating PDF processing capabilities into their applications and those using shared hosting environments where the PDFBox Examples component might be pre-installed.
• java / server:
# Check for vulnerable versions of pdfbox-examples
find / -name "pdfbox-examples*.jar" -exec java -jar {} org.apache.pdfbox.examples.ExtractEmbeddedFiles --version | grep -q '2.0.24-2.0.36' && echo "VULNERABLE"• generic web:
# Check for access to ExtractEmbeddedFiles endpoint
curl -I http://your-server/ExtractEmbeddedFilesdisclosure
Statut de l'Exploit
EPSS
0.04% (percentile 12%)
Vecteur CVSS
Afin d'atténuer cette vulnérabilité, nous recommandons vivement de mettre à jour vers la version 2.0.37 ou 3.0.8 d'Apache PDFBox dès qu'elles seront disponibles. En attendant, une correction est fournie dans la Pull Request 427 de GitHub. Cette correction consiste à modifier le code à l'intérieur de l'exemple ExtractEmbeddedFiles pour empêcher la manipulation non autorisée des chemins de fichiers. Il est crucial d'appliquer cette correction dès que possible pour protéger les systèmes vulnérables. Nous recommandons de surveiller les mises à jour de sécurité d'Apache PDFBox pour garantir l'application des derniers correctifs.
Actualice a la versión 2.0.37 o 3.0.8 una vez que estén disponibles. Si no es posible, aplique la corrección proporcionada en el pull request 427 de GitHub (https://github.com/apache/pdfbox/pull/427/changes) para mitigar la vulnerabilidad de recorrido de ruta.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
C'est une vulnérabilité qui permet à un attaquant d'accéder à des fichiers et des répertoires sur un serveur web auxquels il ne devrait pas avoir accès en manipulant les chemins de fichiers.
Si vous utilisez Apache PDFBox dans les versions affectées et que vous n'appliquez pas la correction, un attaquant pourrait potentiellement accéder à des fichiers sensibles sur votre serveur.
Vous pouvez la trouver dans le dépôt Apache PDFBox sur GitHub : [Insert GitHub Link Here - Replace with actual link].
Appliquez la correction fournie dans la Pull Request 427 de GitHub comme mesure temporaire jusqu'à ce que vous puissiez mettre à jour vers une version corrigée.
Cette vulnérabilité est liée à CVE-2026-23907, qui affecte également Apache PDFBox.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier pom.xml et nous te dirons instantanément si tu es affecté.