CVE-2024-45312 in Overleaf
Resumen
por MITRE • 2024-09-02
Overleaf es un editor colaborativo de LaTeX basado en la web. Overleaf Community Edition y Server Pro anteriores a la versión 5.0.7 (o 4.2.7 para la serie 4.x) contienen una vulnerabilidad que permite que un parámetro de idioma arbitrario en las solicitudes de ortografía del cliente se pase al ejecutable `aspell` que se ejecuta en el servidor. Esto hace que `aspell` intente cargar un archivo de diccionario con un nombre de archivo arbitrario. El acceso al archivo está limitado al ámbito del servidor de Overleaf. El problema se solucionó en las versiones 5.0.7 y 4.2.7. Las versiones anteriores se pueden actualizar utilizando el comando `bin/upgrade` del kit de herramientas de Overleaf. Los usuarios que no puedan actualizar pueden bloquear las solicitudes POST a `/spelling/check` a través de un firewall de aplicaciones web que impedirá el acceso a la función de revisión ortográfica vulnerable. Sin embargo, se recomienda realizar la actualización.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.