Zum Inhalt springen
Zurück zur Startseite

Fachbeitrag

Gotenberg ExifTool group-prefix bypass

Kurze technische Einordnung eines gemeldeten Gotenberg-Problems. Der Beitrag dient als Kompetenznachweis und Dokumentation, nicht als Hauptangebot von Pontis Security.

Zusammenfassung

Gotenberg stellt einen Endpunkt bereit, um PDF-Metadaten über ExifTool zu schreiben. Die Schutzlogik blockierte gefährliche Tags, verglich jedoch den eingereichten Key direkt mit der Blocklist.

ExifTool akzeptiert auch gruppenpräfixierte Keys wie File:FileName. Dadurch konnte eine Blocklist-Prüfung umgangen werden, wenn die Anwendung nicht die kanonische Form prüft, die das nachgelagerte Tool tatsächlich verarbeitet.

Auswirkung

Das Advisory beschreibt einen Angriff gegen Standard-Gotenberg-Deployments. Je nach Betriebsmodell konnte daraus eine relevante Dateioperation innerhalb der Serverumgebung entstehen.

Warum es wichtig ist

Sicherheitsfilter rund um externe Werkzeuge müssen dieselbe Syntax und Normalisierung berücksichtigen wie das Werkzeug selbst. Andernfalls entstehen Lücken zwischen Validierung und tatsächlicher Ausführung.

Advisory

Die öffentliche Advisory-Seite enthält die vollständigen technischen Details.

GitHub Advisory öffnen