Platform
java
Component
org.apache.pdfbox:pdfbox-examples
Opgelost in
2.0.37
3.0.8
2.0.37
CVE-2026-33929 is een 'Path Traversal' kwetsbaarheid ontdekt in de ExtractEmbeddedFiles example van Apache PDFBox Examples. Deze kwetsbaarheid stelt een aanvaller mogelijk in staat om bestanden buiten de toegestane directory te benaderen, wat kan leiden tot ongeautoriseerde toegang tot gevoelige informatie. De kwetsbaarheid treft versies van Apache PDFBox tot en met 2.0.36 en 3.0.7. Een update naar versie 2.0.37 of 3.0.8 wordt aanbevolen, of de fix in GitHub PR 427 kan worden toegepast.
Er is een 'Path Traversal'-kwetsbaarheid (padoversteek) geïdentificeerd in de Apache PDFBox-voorbeelden, specifiek in het voorbeeld ExtractEmbeddedFiles. Deze kwetsbaarheid (CWE-22) stelt een aanvaller in staat om toegang te krijgen tot bestanden buiten de beoogde map, waardoor de vertrouwelijkheid en integriteit van het systeem mogelijk in gevaar komt. Het heeft betrekking op Apache PDFBox-versies van 2.0.24 tot 2.0.36 en van 3.0.0 tot 3.0.7. De ernst van de kwetsbaarheid wordt beoordeeld als CVSS 4.3, wat een matig risico aangeeft. Een succesvolle exploitatie kan een aanvaller in staat stellen gevoelige bestanden op de server te lezen, afhankelijk van de geconfigureerde machtigingen.
De kwetsbaarheid wordt uitgebuit via het voorbeeld ExtractEmbeddedFiles in Apache PDFBox. Een aanvaller kan de invoer die aan het voorbeeld wordt verstrekt, manipuleren om padoversteeksequenties zoals '..' (dubbele punt) op te nemen, waardoor navigatie naar bovenliggende mappen mogelijk is. Dit kan toegang tot bestanden buiten de beoogde werkmap mogelijk maken, zoals configuratiebestanden of gevoelige gegevens. Exploitatie vereist toegang tot het voorbeeld ExtractEmbeddedFiles, wat doorgaans de uitvoering van de voorbeeldcode met voldoende privileges inhoudt.
Organizations using Apache PDFBox Examples in their applications, particularly those deploying it as part of a larger Java-based system, are at risk. This includes developers integrating PDF processing capabilities into their applications and those using shared hosting environments where the PDFBox Examples component might be pre-installed.
• java / server:
# Check for vulnerable versions of pdfbox-examples
find / -name "pdfbox-examples*.jar" -exec java -jar {} org.apache.pdfbox.examples.ExtractEmbeddedFiles --version | grep -q '2.0.24-2.0.36' && echo "VULNERABLE"• generic web:
# Check for access to ExtractEmbeddedFiles endpoint
curl -I http://your-server/ExtractEmbeddedFilesdisclosure
Exploit Status
EPSS
0.04% (12% percentiel)
CVSS-vector
Om deze kwetsbaarheid te mitigeren, raden we ten zeerste aan om te upgraden naar versie 2.0.37 of 3.0.8 van Apache PDFBox zodra deze beschikbaar zijn. Ondertussen wordt een fix geleverd in GitHub Pull Request 427. Deze fix omvat het wijzigen van de code binnen het voorbeeld ExtractEmbeddedFiles om ongeautoriseerde padmanipulatie van bestanden te voorkomen. Het is cruciaal om deze fix zo snel mogelijk toe te passen om kwetsbare systemen te beschermen. We raden aan de beveiligingsupdates van Apache PDFBox te volgen om de toepassing van de nieuwste patches te garanderen.
Actualice a la versión 2.0.37 o 3.0.8 una vez que estén disponibles. Si no es posible, aplique la corrección proporcionada en el pull request 427 de GitHub (https://github.com/apache/pdfbox/pull/427/changes) para mitigar la vulnerabilidad de recorrido de ruta.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Het is een kwetsbaarheid die een aanvaller in staat stelt om toegang te krijgen tot bestanden en mappen op een webserver waarvoor hij geen toegang zou moeten hebben door bestandspaden te manipuleren.
Als u Apache PDFBox in de getroffen versies gebruikt en de fix niet toepast, kan een aanvaller mogelijk gevoelige bestanden op uw server openen.
U kunt deze vinden in de Apache PDFBox-repository op GitHub: [Insert GitHub Link Here - Replace with actual link].
Pas de fix toe die wordt geleverd in GitHub Pull Request 427 als een tijdelijke maatregel totdat u kunt updaten naar een gepatchte versie.
Deze kwetsbaarheid is gerelateerd aan CVE-2026-23907, die ook Apache PDFBox treft.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je pom.xml-bestand en we vertellen je direct of je getroffen bent.