CVE-2025-51591
NiskieCVSS 3.7Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 45 — wyżej niż 45% wszystkich znanych CVE
Streszczenie
Podatność SSRF w JGM Pandoc v3.6.4 umożliwia atakującemu wstrzyknięcie spreparowanego iframe, co pozwala na dostęp do całej infrastruktury i jej naruszenie. Domyślne działanie Pandoc, polegające na pobieraniu i parsowaniu niezaufanego HTML, może ułatwić wykorzystanie tej luki.
Ocena ryzyka
Ryzyko polega na możliwości zdalnego skanowania i atakowania wewnętrznych zasobów sieciowych organizacji, co może prowadzić do wycieku danych, przejęcia kontroli nad systemami i dalszej eskalacji ataku w infrastrukturze.
Rekomendacja
Zaleca się natychmiastową aktualizację Pandoc do najnowszej wersji oraz stosowanie opcji '--sandbox' lub 'pandoc-server' w celu ograniczenia ryzyka. Należy również unikać używania zewnętrznych silników PDF, takich jak wkhtmltopdf, bez odpowiednich zabezpieczeń.
Oryginalny opis (angielski, źródło NVD)
A Server-Side Request Forgery (SSRF) in JGM Pandoc v3.6.4 allows attackers to gain access to and compromise the whole infrastructure via injecting a crafted iframe. Note: Some users have stated that Pandoc by default can retrieve and parse untrusted HTML content which can enable SSRF vulnerabilities. Using the ‘--sandbox’ option or ‘pandoc-server’ can mitigate such vulnerabilities. Using pandoc with an external ‘--pdf-engine’ can also enable SSRF vulnerabilities, such as CVE-2022-35583 in wkhtmltopdf.

