Gotenberg has an unauthenticated denial of service via echo.Context pool reuse in webhook async goroutine — CVE-2026-42594
GHSA · GitHub · CVE-2026-42594
ID
CVE-2026-42594
CVE-2026-42594
Date
Mis à jour
Activity
Source
GHSA
GHSA
Fournisseur
GitHub
GitHub
Risque
high
high
CVSS
7.5
7.5
Résumé
## Summary The webhook middleware spawns a goroutine that holds a reference to the request's `echo.Context` after the synchronous handler returns `ErrAsyncProcess` and Echo recycles the context back to its `sync.Pool`. When a concurrent request claims the recycled context, `c.Reset()` clears the store. If the webhook goroutine reaches `hardTimeoutMiddleware` at that moment, an unchecked type assertion on a nil…
Produit
go: github.com/gotenberg/gotenberg/v8
Que faire
Mesures générales et prudentes (vérifiez les détails dans la source officielle) :
- Priorisez immédiatement les correctifs ou les mesures d’atténuation (risque actif).
- Identifiez les versions affectées dans votre inventaire et vérifiez si vous êtes concerné.
- Appliquez les correctifs/mises à jour du fournisseur ou les atténuations recommandées.
- Consultez l’avis officiel pour les versions affectées et les étapes de remédiation.