Alerta: Vulnerabilidade atinge a biblioteca pdfmake com PoC disponível
Um repositório GitHub publicou hoje uma Proof-of-Concept (PoC) para explorar a vulnerabilidade SSRF do CVE-2026-26801 na pdfmake.
A biblioteca pdfmake é amplamente utilizada por desenvolvedores JavaScript para geração de PDFs em aplicações web e Node.js. No npm, possui mais de 119 mil projetos dependentes, com 118.598 downloads semanais recentes. É integrada via CDN em mais de 33.000 de sites detectados recentemente. Seu us0 é bastante comum em projetos open-source no GitHub e npm, incluindo bibliotecas como amcharts4. É usada predominante para geração de relatórios, faturas e tabelas em apps SaaS, com suporte client-side e server-side via npm ou CDN. Frameworks como Angular e AdonisJS a incorporam para exportação de PDFs.
Detalhes da PoC
Trata-se um exploit público e funcional demonstrando como forçar requisições SSRF (Server-Side Request Forgery) na biblioteca pdfmake, via src/URLResolver.js em versões vulneráveis (0.3.0-beta.2 a 0.3.5), permitindo acesso a recursos internos ou sensíveis. Referenciado em trackers como CVEFeed e GitHub Advisories como PoC recente (atualizado em 18 de março de 2026).
Como a PoC funciona
A PoC injeta URLs maliciosas em documentos PDF processados server-side, explorando a falta de validação de URLs. Não forneceremos detalhes de passos exatos aqui por razões de segurança, mas a PoC testada foca em demonstração remota sem autenticação.
Descrição da Vulnerabilidade
A falha afeta as versões 0.3.0-beta.2 até 0.3.5 do pdfmake, permitindo que um atacante remoto force o servidor a fazer requisições para URLs arbitrárias via o componente src/URLResolver.js, resultando em divulgação de informações sensíveis. Isso pode expor recursos internos ou permitir reconhecimento de rede.
Severidade
Possui pontuação CVSS 3.1 de 7.5 (alta), com vetor AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N, sendo explorável remotamente sem autenticação.
Versões Afetadas e Correção
-
Afetadas: 0.3.0-beta.2 a 0.3.5.
-
Corrigida na versão 0.3.6, que adiciona o método
setUrlAccessPolicy()para definir regras de acesso a URLs e emite avisos em uso server-side sem política.
A biblioteca pdfmake pode ser atualizada via npm ou GitHub, com a versão mais recente sendo 0.3.7 (lançada em março de 2026), que corrige o CVE-2026-26801.
Via npm (Recomendado)
Execute npm install pdfmake@latest ou npm update pdfmake para obter a versão 0.3.7. Verifique no https://www.npmjs.com/package/pdfmake.
Via GitHub
Acesse as releases em https://github.com/bpampuch/pdfmake/releases para download manual ou instalação via npm install bpampuch/pdfmake#v0.3.7.
Changelog da Correção
Na 0.3.6, adicionado setUrlAccessPolicy() para mitigar SSRF; versão 0.3.7 atualiza pdfkit para 0.18.0.
Mitigações
Configure políticas de acesso a URLs e monitore logs para alertas de SSRF. Evite processar dados não confiáveis em ambientes server-side.
Referências
-
GitHub Advisory: https://github.com/advisories/GHSA-wp52-r2fp-4vmr
- pdfmake Repository: https://github.com/bpampuch/pdfmake/releases
Nota de transparência: Essa publicação NÃO utilizou de ferramentas de Inteligência Artificial Generativa para sua escrita, exceto para realização de pesquisa e validação de referências. Os demais conteúdos foram elaborados e revisados pelo autor.
Adriano Mauro Cansian, Doutor em Física Computacional e Professor Associado e pesquisador da UNESP – Universidade Estadual Paulista, possui 30 anos de experiência em pesquisa, desenvolvimento e ensino de segurança cibernética. Fundador e coordenador do Laboratório ACME! Cybersecurity Research, e revisor das revistas “Computers & Security” e “International Journal of Forensic Computer Science”, consultor e membro de vários comitês e organizações técnicas para promover a pesquisa em segurança da informação, além de atuar como voluntário em organizações de governança da Internet.
Categorias: CVE, pdfmake, PoC, Vulnerabilidade.