CVE-2026-40280Gotenberg 8.30.1及更早版本存在安全绕过漏洞,导致服务器端请求伪造(SSRF)。由于默认私有IP拒绝列表的正则表达式区分大小写,攻击者只需将URL方案大写(如HTTP://)即可绕过安全检查。这使得未经身份认证的攻击者能访问内部网络服务、私有IP及云元数据端点,造成敏感信息泄露。
漏洞源于Gotenberg在`--webhook-deny-list`和`--api-download-from-deny-list`标志中,使用了区分大小写的正则表达式`^https?://`来过滤URL方案。Go语言标准库中的`net/url.Parse()`函数在建立出站TCP连接前,会自动将URL方案标准化为小写。攻击者利用这一处理差异,通过使用大写字母构造URL(例如`HTTP://169.254.169.254`),可以欺骗正则匹配引擎使其认为URL不匹配黑名单模式,从而放行请求。随后,底层网络库正常解析并发起对内部敏感地址(如AWS或Azure的元数据服务)的请求。该漏洞是对之前补丁(CVE-2026-27018)的绕过。