MEDIUMCVE-2026-33929CVSS 4.3

Apache PDFBox 示例：PDFBox 提取嵌入文件示例代码中的路径遍历

平台

java

组件

org.apache.pdfbox:pdfbox-examples

修复版本

2.0.37

3.0.8

2.0.37

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-33929 是 Apache PDFBox Examples 中的一个路径遍历漏洞，允许攻击者可能访问未授权文件。该漏洞源于 ExtractEmbeddedFiles 示例中的缺陷，影响 PDFBox 版本 2.0.24 到 2.0.36 以及 3.0.0 到 3.0.7。建议用户尽快升级到 2.0.37 或 3.0.8 版本以修复此问题。

影响与攻击场景

在 Apache PDFBox Examples 中发现了一个路径遍历 (Path Traversal) 漏洞，具体位于 ExtractEmbeddedFiles 示例中。此漏洞 (CWE-22) 允许攻击者访问预期目录之外的文件，从而可能危及系统的机密性和完整性。受影响的 Apache PDFBox 版本包括 2.0.24 到 2.0.36，以及 3.0.0 到 3.0.7。此漏洞的严重程度评分为 CVSS 4.3，表明存在中等风险。成功利用可能允许攻击者读取服务器上的敏感文件，具体取决于配置的权限。

利用背景

此漏洞通过 Apache PDFBox 中的 ExtractEmbeddedFiles 示例进行利用。攻击者可以操纵提供给示例的输入，以包含路径遍历序列，例如 '..'（双点），从而允许导航到父目录。这可能允许访问预期工作目录之外的文件，例如配置文件或敏感数据。利用需要访问 ExtractEmbeddedFiles 示例，通常涉及具有足够权限执行示例代码。

哪些人处于风险中翻译中…

Organizations using Apache PDFBox Examples in their applications, particularly those deploying it as part of a larger Java-based system, are at risk. This includes developers integrating PDF processing capabilities into their applications and those using shared hosting environments where the PDFBox Examples component might be pre-installed.

检测步骤翻译中…

• java / server:

# Check for vulnerable versions of pdfbox-examples
find / -name "pdfbox-examples*.jar" -exec java -jar {} org.apache.pdfbox.examples.ExtractEmbeddedFiles --version | grep -q '2.0.24-2.0.36' && echo "VULNERABLE"

• generic web:

# Check for access to ExtractEmbeddedFiles endpoint
curl -I http://your-server/ExtractEmbeddedFiles

攻击时间线

2026-04-14Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告2 份威胁报告

EPSS

0.04% (12% 百分位)

CVSS 向量

受影响的软件

组件org.apache.pdfbox:pdfbox-examples

供应商osv

影响范围修复版本

2.0.24 – 2.0.362.0.37

3.0.0 – 3.0.73.0.8

2.0.242.0.37

弱点分类 (CWE)

CWE-22

时间线

已保留2026-03-24
发布日期2026-04-14
EPSS 更新日期2026-04-21

缓解措施和替代方案

为了减轻此漏洞，我们强烈建议尽快更新到 Apache PDFBox 的 2.0.37 或 3.0.8 版本。同时，GitHub Pull Request 427 提供了修复程序。此修复程序涉及修改 ExtractEmbeddedFiles 示例中的代码，以防止未经授权的文件路径操作。为了保护易受攻击的系统，尽快应用此修复程序至关重要。我们建议监控 Apache PDFBox 安全更新，以确保应用最新的补丁。

修复方法翻译中…

Actualice a la versión 2.0.37 o 3.0.8 una vez que estén disponibles. Si no es posible, aplique la corrección proporcionada en el pull request 427 de GitHub (https://github.com/apache/pdfbox/pull/427/changes) para mitigar la vulnerabilidad de recorrido de ruta.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-33929 是什么 — org.apache.pdfbox:pdfbox-examples 中的 Path Traversal？

这是一种漏洞，允许攻击者通过操纵文件路径在 Web 服务器上访问他们不应该访问的文件和目录。

org.apache.pdfbox:pdfbox-examples 中的 CVE-2026-33929 是否会影响我？

如果您使用受影响版本的 Apache PDFBox 并且未应用修复程序，攻击者可能会潜在地访问您服务器上的敏感文件。

如何修复 org.apache.pdfbox:pdfbox-examples 中的 CVE-2026-33929？

您可以在 GitHub 上的 Apache PDFBox 存储库中找到它：[Insert GitHub Link Here - Replace with actual link].

CVE-2026-33929 是否正在被积极利用？

在您能够更新到修复版本之前，将 GitHub Pull Request 427 中提供的修复程序作为临时措施应用。

在哪里可以找到 org.apache.pdfbox:pdfbox-examples 关于 CVE-2026-33929 的官方安全通告？

此漏洞与 CVE-2026-23907 相关，该漏洞也影响 Apache PDFBox。