Vulnerabilidad en pdfmake (CVE-2026-26801)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-918
Falsificación de solicitud en servidor (SSRF)
Fecha de publicación:
10/03/2026
Última modificación:
07/05/2026
Descripción
Vulnerabilidad de falsificación de petición del lado del servidor (SSRF) en las versiones de pdfmake 0.3.0-beta.2 hasta 0.3.5 permite a un atacante remoto obtener información sensible a través del componente src/URLResolver.js. La corrección fue lanzada en la versión 0.3.6, que introduce el método setUrlAccessPolicy() permitiendo a los operadores del servidor definir reglas de acceso a URL. Ahora se registra una advertencia cuando pdfmake se utiliza del lado del servidor sin una política configurada.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:pdfmake:pdfmake:*:*:*:*:*:*:*:* | 0.3.1 (incluyendo) | 0.3.5 (incluyendo) |
| cpe:2.3:a:pdfmake:pdfmake:0.3.0:-:*:*:*:*:*:* | ||
| cpe:2.3:a:pdfmake:pdfmake:0.3.0:beta10:*:*:*:*:*:* | ||
| cpe:2.3:a:pdfmake:pdfmake:0.3.0:beta11:*:*:*:*:*:* | ||
| cpe:2.3:a:pdfmake:pdfmake:0.3.0:beta12:*:*:*:*:*:* | ||
| cpe:2.3:a:pdfmake:pdfmake:0.3.0:beta13:*:*:*:*:*:* | ||
| cpe:2.3:a:pdfmake:pdfmake:0.3.0:beta14:*:*:*:*:*:* | ||
| cpe:2.3:a:pdfmake:pdfmake:0.3.0:beta15:*:*:*:*:*:* | ||
| cpe:2.3:a:pdfmake:pdfmake:0.3.0:beta16:*:*:*:*:*:* | ||
| cpe:2.3:a:pdfmake:pdfmake:0.3.0:beta17:*:*:*:*:*:* | ||
| cpe:2.3:a:pdfmake:pdfmake:0.3.0:beta18:*:*:*:*:*:* | ||
| cpe:2.3:a:pdfmake:pdfmake:0.3.0:beta19:*:*:*:*:*:* | ||
| cpe:2.3:a:pdfmake:pdfmake:0.3.0:beta2:*:*:*:*:*:* | ||
| cpe:2.3:a:pdfmake:pdfmake:0.3.0:beta3:*:*:*:*:*:* | ||
| cpe:2.3:a:pdfmake:pdfmake:0.3.0:beta4:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página



