Alerta: Vulnerabilidade atinge a biblioteca pdfmake com PoC disponível

Publicado em: 18 de março de 2026
por Adriano Cansian.

Um repositório GitHub  publicou hoje uma Proof-of-Concept (PoC) para explorar a vulnerabilidade SSRF do CVE-2026-26801 na pdfmake.

A biblioteca pdfmake é amplamente utilizada por desenvolvedores JavaScript para geração de PDFs em aplicações web e Node.js​. No npm, possui mais de 119 mil projetos dependentes, com 118.598 downloads semanais recentes. É integrada via CDN em mais de 33.000 de sites detectados recentemente. Seu us0 é bastante comum em projetos open-source no GitHub e npm, incluindo bibliotecas como amcharts4. É usada predominante para geração de  relatórios, faturas e tabelas em apps SaaS, com suporte client-side e server-side via npm ou CDN. Frameworks como Angular e AdonisJS a incorporam para exportação de PDFs.

Detalhes da PoC

Trata-se um exploit público e funcional demonstrando como forçar requisições SSRF (Server-Side Request Forgery) na biblioteca pdfmake, via src/URLResolver.js em versões vulneráveis (0.3.0-beta.2 a 0.3.5), permitindo acesso a recursos internos ou sensíveis. Referenciado em trackers como CVEFeed e GitHub Advisories como PoC recente (atualizado em 18 de março de 2026).

Como a PoC funciona

A PoC injeta URLs maliciosas em documentos PDF processados server-side, explorando a falta de validação de URLs. Não forneceremos detalhes de passos exatos aqui por razões de segurança, mas a PoC testada foca em demonstração remota sem autenticação.

Descrição da Vulnerabilidade

A falha afeta as versões 0.3.0-beta.2 até 0.3.5 do pdfmake, permitindo que um atacante remoto force o servidor a fazer requisições para URLs arbitrárias via o componente src/URLResolver.js, resultando em divulgação de informações sensíveis. Isso pode expor recursos internos ou permitir reconhecimento de rede.

Severidade

Possui pontuação CVSS 3.1 de 7.5 (alta), com vetor AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N, sendo explorável remotamente sem autenticação.

Versões Afetadas e Correção

  • Afetadas: 0.3.0-beta.2 a 0.3.5.

  • Corrigida na versão 0.3.6, que adiciona o método setUrlAccessPolicy() para definir regras de acesso a URLs e emite avisos em uso server-side sem política.

A biblioteca pdfmake pode ser atualizada via npm ou GitHub, com a versão mais recente sendo 0.3.7 (lançada em março de 2026), que corrige o CVE-2026-26801.

Via npm (Recomendado)

Execute npm install pdfmake@latest ou npm update pdfmake para obter a versão 0.3.7. Verifique no https://www.npmjs.com/package/pdfmake.

Via GitHub

Acesse as releases em https://github.com/bpampuch/pdfmake/releases para download manual ou instalação via npm install bpampuch/pdfmake#v0.3.7.

Changelog da Correção

Na 0.3.6, adicionado setUrlAccessPolicy() para mitigar SSRF; versão 0.3.7 atualiza pdfkit para 0.18.0.

Mitigações

Configure políticas de acesso a URLs e monitore logs para alertas de SSRF. Evite processar dados não confiáveis em ambientes server-side.

Referências

Nota de transparência: Essa publicação NÃO utilizou de ferramentas de Inteligência Artificial Generativa para sua escrita, exceto para realização de pesquisa e validação de referências. Os demais conteúdos foram elaborados e revisados pelo autor.

Categorias: CVE, pdfmake, PoC, Vulnerabilidade.

Adriano Cansian Adriano Mauro Cansian, Doutor em Física Computacional e Professor Associado e pesquisador da UNESP - Universidade Estadual Paulista, possui 30 anos de experiência em pesquisa, desenvolvimento e ensino de segurança cibernética. Fundador e coordenador do Laboratório ACME! Cybersecurity Research, e revisor das revistas "Computers & Security" e "International Journal of Forensic Computer Science", consultor e membro de vários comitês e organizações técnicas para promover a pesquisa em segurança da informação, além de atuar como voluntário em organizações de governança da Internet.