Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Stirling-PDF (CVE-2025-46568)

Gravedad CVSS v4.0:
ALTA
Tipo:
CWE-918 Falsificación de solicitud en servidor (SSRF)
Fecha de publicación:
01/05/2025
Última modificación:
17/06/2025

Descripción

Stirling-PDF es una aplicación web alojada localmente que permite realizar diversas operaciones con archivos PDF. Antes de la versión 0.45.0, Stirling-PDF era vulnerable a la lectura arbitraria de archivos inducida por SSRF. WeasyPrint redefine un conjunto de etiquetas HTML, como img, embed, object y otras. Las referencias a varios archivos que contiene permiten adjuntar contenido de cualquier página web o archivo local a un PDF. Esto permite al atacante leer cualquier archivo del servidor, incluyendo archivos confidenciales y de configuración. Todos los usuarios que utilicen esta función se verán afectados. Este problema se ha corregido en la versión 0.45.0.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:stirlingpdf:stirling_pdf:*:*:*:*:*:*:*:* 0.45.0 (excluyendo)