プラットフォーム
java
コンポーネント
org.apache.pdfbox:pdfbox-examples
修正版
2.0.37
3.0.8
2.0.37
Apache PDFBox Examples におけるパス・トラバーサル脆弱性 (CVE-2026-33929) は、埋め込みファイルの抽出処理において、ディレクトリへのアクセス制限が不十分なために発生します。この脆弱性を悪用されると、攻撃者は本来アクセスできないファイルにアクセスし、機密情報を盗み出す可能性があります。影響を受けるバージョンは PDFBox 2.0.24 から 2.0.36、および 3.0.0 から 3.0.7 です。バージョン 2.0.37 または 3.0.8 へのアップデートで修正されています。
Apache PDFBoxのExamplesにおいて、ExtractEmbeddedFilesのサンプルコードにPath Traversal(パス・トラバーサル)の脆弱性が発見されました。この脆弱性(CWE-22)により、攻撃者は意図されたディレクトリ外のファイルにアクセスできるようになり、システムの機密性および完全性が損なわれる可能性があります。影響を受けるのは、Apache PDFBoxのバージョン2.0.24から2.0.36、および3.0.0から3.0.7です。この脆弱性の深刻度はCVSS 4.3と評価されており、中程度のリスクを示しています。攻撃が成功した場合、攻撃者は設定された権限に応じて、サーバー上の機密ファイルにアクセスできる可能性があります。
この脆弱性は、Apache PDFBoxのExtractEmbeddedFilesサンプルコードを通じて悪用されます。攻撃者は、サンプルコードへの入力を操作し、'..'(ドット2つ)のようなパス・トラバーサルシーケンスを含めることで、親ディレクトリに移動できます。これにより、意図された作業ディレクトリ外のファイル(構成ファイルや機密データなど)にアクセスできるようになる可能性があります。悪用には、ExtractEmbeddedFilesサンプルコードへのアクセスが必要であり、通常、十分な権限でサンプルコードを実行する必要があります。
Organizations using Apache PDFBox Examples in their applications, particularly those deploying it as part of a larger Java-based system, are at risk. This includes developers integrating PDF processing capabilities into their applications and those using shared hosting environments where the PDFBox Examples component might be pre-installed.
• java / server:
# Check for vulnerable versions of pdfbox-examples
find / -name "pdfbox-examples*.jar" -exec java -jar {} org.apache.pdfbox.examples.ExtractEmbeddedFiles --version | grep -q '2.0.24-2.0.36' && echo "VULNERABLE"• generic web:
# Check for access to ExtractEmbeddedFiles endpoint
curl -I http://your-server/ExtractEmbeddedFilesdisclosure
エクスプロイト状況
EPSS
0.04% (12% パーセンタイル)
CVSS ベクトル
この脆弱性に対処するため、Apache PDFBoxのバージョンを2.0.37または3.0.8にできるだけ早く更新することを強く推奨します。その間、GitHubのプルリクエスト427で修正が提供されています。この修正は、ExtractEmbeddedFilesサンプルコード内のコードを変更し、不正なファイルパスの操作を防ぐものです。脆弱なシステムを保護するために、この修正をできるだけ早く適用することが重要です。最新のセキュリティパッチの適用を確実にするために、Apache PDFBoxのセキュリティアップデートを監視することをお勧めします。
Actualice a la versión 2.0.37 o 3.0.8 una vez que estén disponibles. Si no es posible, aplique la corrección proporcionada en el pull request 427 de GitHub (https://github.com/apache/pdfbox/pull/427/changes) para mitigar la vulnerabilidad de recorrido de ruta.
脆弱性分析と重要アラートをメールでお届けします。
これは、攻撃者がファイルパスを操作することで、アクセスすべきでないWebサーバー上のファイルやディレクトリにアクセスできる脆弱性です。
影響を受けるバージョンのApache PDFBoxを使用しており、修正を適用していない場合、攻撃者はサーバー上の機密ファイルにアクセスする可能性があります。
GitHubのApache PDFBoxリポジトリで確認できます:[Insert GitHub Link Here - Replace with actual link].
アップデートできるまで、一時的な対策としてGitHubのプルリクエスト427で提供されている修正を適用してください。
この脆弱性は、Apache PDFBoxにも影響を与えるCVE-2026-23907に関連しています。
pom.xml ファイルをアップロードすると、影響の有無を即座にお知らせします。