CVE-2024-45312 in Overleafinformación

Resumen

por MITRE • 2024-09-02

Overleaf es un editor colaborativo de LaTeX basado en la web. Overleaf Community Edition y Server Pro anteriores a la versión 5.0.7 (o 4.2.7 para la serie 4.x) contienen una vulnerabilidad que permite que un parámetro de idioma arbitrario en las solicitudes de ortografía del cliente se pase al ejecutable `aspell` que se ejecuta en el servidor. Esto hace que `aspell` intente cargar un archivo de diccionario con un nombre de archivo arbitrario. El acceso al archivo está limitado al ámbito del servidor de Overleaf. El problema se solucionó en las versiones 5.0.7 y 4.2.7. Las versiones anteriores se pueden actualizar utilizando el comando `bin/upgrade` del kit de herramientas de Overleaf. Los usuarios que no puedan actualizar pueden bloquear las solicitudes POST a `/spelling/check` a través de un firewall de aplicaciones web que impedirá el acceso a la función de revisión ortográfica vulnerable. Sin embargo, se recomienda realizar la actualización.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsable

GitHub M

Reservar

2024-08-26

Divulgación

2024-09-02

Moderación

aceptado

Artículo

VDB-276340

CPE

listo

EPSS

0.00478

KEV

no

Actividades

muy bajo

Fuentes

Want to know what is going to be exploited?

We predict KEV entries!