Apache PDFBox 路径穿越漏洞CVE-2026-33929

Apache PDFBox 是 Apache 软件基金会旗下开源 Java 库，专为创建、渲染、编辑、提取和验证 PDF 文档而设计，免费且商业友好。

一、基本请款

Apache PDFBox 是用于创建和处理 PDF 文档的开源 Java 库，是 Java 生态中处理 PDF 的主流工具，遵循 Apache License 2.0 协议。

Apache PDFBox 是 Java 平台成熟、安全、经济的 PDF 处理方案，是企业级 PDF 自动化、内容提取、合规归档与数字签名的首选库。

Apache PDFBox 凭借纯 Java、全功能、开源免费、内存高效、社区强大五大核心优势，广泛应用于金融、政务、出版、电商等领域。

栋科技漏洞库关注到 Apache PDFBox 多个版本中存在的路径穿越漏洞，该漏洞现已被追踪为CVE-2026-33929，CVSS 3.X评分4.3。

二、漏洞分析

CVE-2026-33929是Apache PDFBox 示例程序中存在对受限目录路径名限制不当（“路径遍历”）漏洞，影响 Apache PDFBox多个版本。

具体来说，该安全漏洞主要影响了Apache PDFBox中的 ExtractEmbeddedFiles 示例程序：2.0.24 至 2.0.36 版本、3.0.0 至 3.0.7 版本。

其 ExtractEmbeddedFiles 示例代码在提取嵌入式文件时对目标路径的校验逻辑存在缺陷，需要说明，漏洞已在 CVE-2026-23907提及。

但 2.0.36 和 3.0.7 版本中的相关修复存在缺陷，原因是未考虑文件路径分隔符，是针对 CVE-2026-23907 修复不完全导致的回归漏洞。

因此，对 /home/ABC 目录拥有写入权限的用户可能会遭受恶意 PDF 文件攻击，会导致程序尝试写入任何以 /home/ABC 开头的路径。

攻击者可通过构造恶意的 PDF 文件，诱导用户使用该示例工具提取文件，从而将文件写入到预期目录之外的路径，实现任意文件写入。

三、影响范围

2.0.24 <= Apache PDFBox <= 2.0.36

3.0.0 <= Apache PDFBox <= 3.0.7

四、修复建议

Apache PDFBox >=2.0.37，3.0.8

五、参考链接

管理员已设置登录后刷新可查看