Platform
php
Component
stirling-pdf
Opgelost in
2.0.1
CVE-2026-33436 beschrijft een Reflected Cross-Site Scripting (XSS) kwetsbaarheid in Stirling-PDF, een webapplicatie voor het bewerken van PDF-bestanden. Een aanvaller kan een bestand uploaden met een kwaadaardige bestandsnaam die JavaScript code bevat, waardoor deze wordt uitgevoerd in de browser van de gebruiker. Deze kwetsbaarheid treft versies 1.0.0 tot en met < 2.0.0. De kwetsbaarheid is verholpen in versie 2.0.0.
Deze XSS-kwetsbaarheid stelt een aanvaller in staat om willekeurige JavaScript code uit te voeren in de context van de gebruiker die het bestand uploadt. Dit kan leiden tot het stelen van sessiecookies, het omleiden van de gebruiker naar kwaadaardige websites, of het manipuleren van de webpagina. De impact is verhoogd omdat de kwetsbaarheid aanwezig is in meerdere upload endpoints binnen de applicatie, waardoor het relatief eenvoudig is om te exploiteren. Een succesvolle exploitatie kan leiden tot volledige controle over de browser van het slachtoffer en mogelijk toegang tot gevoelige informatie.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er zijn momenteel geen meldingen van actieve exploitatie in de wildernis, maar de relatieve eenvoud van de exploitatie maakt het waarschijnlijk dat dit in de toekomst kan gebeuren. De kwetsbaarheid is opgenomen in de NVD database op 2026-04-17. Er zijn geen KEV-listings bekend op het moment van schrijven.
Organizations using Stirling-PDF for local PDF processing, particularly those with user-facing file upload functionality, are at risk. Shared hosting environments where multiple users have access to the same Stirling-PDF instance are especially vulnerable, as a malicious file uploaded by one user could impact other users.
• php: Examine application logs for unusual file upload activity, specifically looking for filenames containing JavaScript code (e.g., <script>alert('XSS')</script>).
• generic web: Use curl to test file upload endpoints with malicious filenames and observe the response HTML for signs of JavaScript execution.
curl -X POST -F "file=@malicious_file.pdf" http://your-stirling-pdf-instance/upload.php• generic web: Inspect the source code of file upload handling functions for inadequate sanitization of filenames before rendering them in HTML.
disclosure
Exploit Status
EPSS
0.05% (15% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden naar Stirling-PDF versie 2.0.0 of hoger, waarin de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, kan een tijdelijke oplossing bestaan uit het implementeren van strenge input validatie op alle bestandsupload endpoints. Dit omvat het sanitiseren van bestandsnamen om alle potentieel schadelijke JavaScript code te verwijderen. Het gebruik van een Web Application Firewall (WAF) met XSS-detectie en -preventie regels kan ook helpen om aanvallen te blokkeren. Controleer de configuratie van Stirling-PDF om ervoor te zorgen dat bestandsnamen niet direct in HTML worden gerenderd.
Werk Stirling-PDF bij naar versie 2.0.0 of hoger om de XSS-kwetsbaarheid te mitigeren. Deze versie corrigeert het probleem van onveilige rendering van bestandsnamen in de file upload functionaliteit, waardoor de uitvoering van kwaadaardige JavaScript-code in de browser van de gebruiker wordt voorkomen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-33436 is a reflected Cross-Site Scripting (XSS) vulnerability in Stirling-PDF versions 1.0.0 through 1.9.9, allowing malicious JavaScript execution via crafted filenames.
You are affected if you are using Stirling-PDF versions 1.0.0 through 1.9.9 and have file upload functionality. Upgrade to version 2.0.0 to mitigate the risk.
Upgrade Stirling-PDF to version 2.0.0 or later. Implement input validation and sanitization on file upload endpoints as a temporary workaround.
There are currently no confirmed reports of active exploitation in the wild, but the ease of exploitation warrants caution.
Refer to the Stirling-PDF project's official website or repository for the latest security advisories and release notes.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.