CVE-2026-33929: Apache PDFBox ExtractEmbeddedFiles 示例代码中的路径遍历漏洞 漏洞概述 Apache PDFBox 的 示例代码存在路径遍历漏洞(CVE-2026-33929)。该漏洞源于对文件路径限制的不当处理,攻击者可通过构造恶意 PDF 文件,尝试向 等任意路径写入数据。 影响范围 受影响版本: - 2.0.24 至 2.0.36 - 3.0.0 至 3.0.7 受影响模块: 示例代码。 修复方案 1. 升级版本:建议用户将 升级至 2.0.37 或 3.0.8 版本。 2. 应用补丁:在升级前,用户应通过 GitHub PR 427 获取并应用修复补丁。 3. 代码审查:若用户已将此示例代码复制至生产环境中,需按照项目仓库中的说明进行相应修改。 参考链接 GitHub PR #427 PDFBox 官方公告 CVE-2026-33929 详情 JIRA 追踪单 PDFBOX-6180