CVE-2026-39383 CVSS 7.2 高危

CVE-2026-39383 Gotenberg盲SSRF漏洞

披露日期: 2026-05-05

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-39383

漏洞类型

服务端请求伪造 (SSRF)

CVSS评分

7.2 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Gotenberg

漏洞概述

Gotenberg在8.29.1版本中存在一个服务端请求伪造（SSRF）漏洞。由于默认配置下的URL过滤机制失效，未经身份验证的远程攻击者可通过构造恶意请求，利用`Gotenberg-Webhook-Url`请求头强制服务器向任意内部或外部目标发起HTTP POST请求。这是一个盲SSRF漏洞，攻击者可利用此漏洞探测内网基础设施，并利用重试机制放大探测效果。

技术细节

该漏洞源于Gotenberg `filter.go`文件中的`FilterDeadline`函数逻辑缺陷。该函数本用于限制出站URL，但在默认配置下（允许列表和拒绝列表均为空），函数无条件返回nil，导致对任何URL的校验都通过。攻击者无需认证即可在网络可达的情况下，在请求头中注入任意URL。当Gotenberg完成文档转换后，会向攻击者指定的URL发送POST请求。由于这是盲SSRF，服务器仅检查响应状态码而不返回响应体。攻击者可通过观察错误回调是否触发或利用HTTP客户端最多4次自动重试带来的时间延迟，来推断内网服务状态或探测云元数据端点。

攻击链分析

STEP 1

1. 探测

攻击者发现目标网络中存在Gotenberg服务，并确认其版本在8.31.0以下。

STEP 2

2. 构造请求

攻击者向Gotenberg API发送转换请求，并在HTTP头中注入恶意的`Gotenberg-Webhook-Url`（如内网地址或云元数据服务地址）。

STEP 3

3. 服务端请求

Gotenberg服务器处理请求后，解析Webhook URL并向该地址发起出站POST请求。

STEP 4

4. 结果推断

攻击者根据响应时间的差异（利用重试机制）或错误回调的触发情况，判断内网目标是否可达。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC to trigger Blind SSRF in Gotenberg < 8.31.0 # Target internal metadata service (e.g., AWS IMDS) curl -X POST http://<TARGET_IP>:3000/forms/convert \ -F "[email protected]" \ -H "Gotenberg-Webhook-Url: http://169.254.169.254/latest/meta-data/iam/security-credentials/"

影响范围

Gotenberg 8.29.1

防御指南

临时缓解措施

如果无法立即升级，建议通过配置环境变量`GOTENBERG_API_WEBHOOK_ALLOW_LIST`将Webhook URL限制为可信的接收者，或者在`GOTENBERG_API_WEBHOOK_DENY_LIST`中添加内网IP段（如RFC-1918地址）以防止向内网发起请求。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表