Plataforma
php
Componente
stirling-pdf
Corrigido em
2.0.1
O CVE-2026-33436 é uma vulnerabilidade de Cross-Site Scripting (XSS) presente na aplicação web Stirling-PDF, versões 1.0.0 até 2.0.0. Um atacante pode explorar essa falha ao enviar arquivos com nomes maliciosos, que são renderizados diretamente no HTML sem a devida sanitização. Isso permite a execução de código JavaScript no navegador do usuário que realiza o upload, comprometendo a segurança da aplicação.
A exploração bem-sucedida desta vulnerabilidade permite a um atacante injetar scripts maliciosos no contexto do navegador do usuário que está carregando o arquivo. Isso pode levar ao roubo de cookies de sessão, redirecionamento para sites maliciosos, ou até mesmo à modificação do conteúdo da página web. O impacto é amplificado se a aplicação Stirling-PDF for utilizada para processar documentos sensíveis, pois um atacante poderia obter acesso a informações confidenciais contidas nesses documentos. A ausência de sanitização adequada dos nomes de arquivos torna a exploração relativamente simples e pode afetar diversos pontos de upload na aplicação.
O CVE-2026-33436 foi publicado em 2026-04-17. Atualmente, não há relatos de exploração ativa dessa vulnerabilidade, mas a facilidade de exploração e a natureza da XSS tornam a vulnerabilidade um alvo potencial. Não há informações disponíveis sobre a inclusão desta CVE no KEV da CISA, nem sobre a existência de Proof-of-Concept (PoC) públicos amplamente divulgados.
Organizations using Stirling-PDF for local PDF processing, particularly those with user-facing file upload functionality, are at risk. Shared hosting environments where multiple users have access to the same Stirling-PDF instance are especially vulnerable, as a malicious file uploaded by one user could impact other users.
• php: Examine application logs for unusual file upload activity, specifically looking for filenames containing JavaScript code (e.g., <script>alert('XSS')</script>).
• generic web: Use curl to test file upload endpoints with malicious filenames and observe the response HTML for signs of JavaScript execution.
curl -X POST -F "file=@malicious_file.pdf" http://your-stirling-pdf-instance/upload.php• generic web: Inspect the source code of file upload handling functions for inadequate sanitization of filenames before rendering them in HTML.
disclosure
Status do Exploit
EPSS
0.05% (percentil 15%)
CISA SSVC
Vetor CVSS
A mitigação primária para o CVE-2026-33436 é a atualização para a versão 2.0.0 do Stirling-PDF, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como a validação e sanitização rigorosa de todos os nomes de arquivos de upload no lado do servidor. Implementar uma Web Application Firewall (WAF) com regras para detectar e bloquear payloads XSS comuns também pode ajudar a reduzir o risco. Além disso, desative temporariamente os pontos de upload de arquivos, se possível, até que a atualização possa ser aplicada.
Atualize Stirling-PDF para a versão 2.0.0 ou superior para mitigar a vulnerabilidade de XSS. Esta versão corrige o problema de renderização insegura de nomes de arquivo nas funções de upload de arquivos, evitando a execução de código JavaScript malicioso no navegador do usuário.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-33436 is a reflected Cross-Site Scripting (XSS) vulnerability in Stirling-PDF versions 1.0.0 through 1.9.9, allowing malicious JavaScript execution via crafted filenames.
You are affected if you are using Stirling-PDF versions 1.0.0 through 1.9.9 and have file upload functionality. Upgrade to version 2.0.0 to mitigate the risk.
Upgrade Stirling-PDF to version 2.0.0 or later. Implement input validation and sanitization on file upload endpoints as a temporary workaround.
There are currently no confirmed reports of active exploitation in the wild, but the ease of exploitation warrants caution.
Refer to the Stirling-PDF project's official website or repository for the latest security advisories and release notes.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.