CVE-2026-41653: Stored XSS > File Exfiltration in BentoPDF
Una delle domande che mi pongo sempre quando faccio code review è: “qual è la vera superficie d’attacco di questa applicazione?”. Non in senso astratto (ogni applicazione ha superficie d’attacco), ma in senso concreto: se ottengo code execution qui, cosa raggiungo davvero? Quali dati circolano e dove vanno a finire? Ho trovato BentoPDF mentre lavoravo a un progetto personale. Stavo navigando su GitHub cercando strumenti open-source interessanti, mi ci sono imbattuto, e ho pensato: privacy-first, PDF processor completamente client-side, WebAssembly, zero backend. Architetturalmente insolito. Vale la pena approfondire. ...