Plataforma
java
Componente
org.apache.pdfbox:pdfbox-examples
Corrigido em
2.0.37
3.0.8
2.0.37
Uma vulnerabilidade de Path Traversal foi descoberta nos exemplos do Apache PDFBox, especificamente no exemplo ExtractEmbeddedFiles. Essa falha permite que um atacante acesse arquivos fora do diretório pretendido, potencialmente comprometendo a confidencialidade e a integridade do sistema. As versões afetadas são aquelas anteriores a 2.0.37 e 3.0.8. A atualização para uma versão corrigida é a solução recomendada.
A vulnerabilidade de Path Traversal em Apache PDFBox Examples permite que um atacante explore o exemplo ExtractEmbeddedFiles para acessar arquivos arbitrários no sistema de arquivos subjacente. Um atacante malicioso poderia ler arquivos confidenciais, como chaves de API, senhas ou dados de configuração, ou até mesmo executar código malicioso se tiver permissão para escrever em arquivos executáveis. A exploração bem-sucedida pode levar à divulgação de informações confidenciais, comprometimento do sistema e potencial escalonamento de privilégios. A falha original, mencionada no CVE-2026-23907, demonstra a seriedade do problema, e a correção incompleta nas versões 2.0.36 e 3.0.7 agrava o risco.
A vulnerabilidade foi divulgada em 2026-04-14. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A existência de uma correção incompleta nas versões 2.0.36 e 3.0.7 sugere que a vulnerabilidade pode ser explorada se as versões corrigidas não forem aplicadas.
Organizations using Apache PDFBox Examples in their applications, particularly those deploying it as part of a larger Java-based system, are at risk. This includes developers integrating PDF processing capabilities into their applications and those using shared hosting environments where the PDFBox Examples component might be pre-installed.
• java / server:
# Check for vulnerable versions of pdfbox-examples
find / -name "pdfbox-examples*.jar" -exec java -jar {} org.apache.pdfbox.examples.ExtractEmbeddedFiles --version | grep -q '2.0.24-2.0.36' && echo "VULNERABLE"• generic web:
# Check for access to ExtractEmbeddedFiles endpoint
curl -I http://your-server/ExtractEmbeddedFilesdisclosure
Status do Exploit
EPSS
0.04% (percentil 12%)
Vetor CVSS
A mitigação primária para a vulnerabilidade CVE-2026-33929 é atualizar para a versão 2.0.37 ou 3.0.8 do Apache PDFBox Examples. Se a atualização imediata não for possível, aplique o patch fornecido no GitHub Pull Request 427 (https://github.com/apache/pdfbox/pull/427). Como medida adicional, considere restringir o acesso ao diretório de instalação do PDFBox e monitorar logs de acesso para atividades suspeitas. Implementar um Web Application Firewall (WAF) com regras para bloquear solicitações com caminhos de arquivo suspeitos também pode ajudar a mitigar o risco. Após a atualização, confirme a correção verificando se o exemplo ExtractEmbeddedFiles não permite mais o acesso a arquivos fora do diretório esperado.
Atualize para a versão 2.0.37 ou 3.0.8 assim que estiverem disponíveis. Se isso não for possível, aplique a correção fornecida no pull request 427 do GitHub (https://github.com/apache/pdfbox/pull/427/changes) para mitigar a vulnerabilidade de percurso de caminho.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-33929 is a Path Traversal vulnerability affecting Apache PDFBox Examples versions up to 2.0.36 and 3.0.7, allowing attackers to potentially access arbitrary files.
If you are using Apache PDFBox Examples versions 2.0.24 through 2.0.36 or 3.0.0 through 3.0.7, you are potentially affected by this vulnerability.
Upgrade to version 2.0.37 or 3.0.8. If upgrading is not possible, apply the fix provided in GitHub PR 427.
As of the publication date, active exploitation of CVE-2026-33929 has not been confirmed.
Refer to the Apache PDFBox project website and GitHub repository for updates and advisories related to CVE-2026-33929.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo pom.xml e descubra na hora se você está afetado.