CVE-2024-45313 in Overleafinformation

Résumé

par VulDB • 25/06/2026

Overleaf est un éditeur LaTeX collaboratif basé sur le web. Lors de l'installation de Server Pro à l'aide d'Overleaf Toolkit antérieur au 17/07/2024 ou du fichier legacy docker-compose.yml antérieur au 28/08/2024, la configuration des compilations LaTeX était par défaut non sécurisée, obligeant l'administrateur à activer les fonctionnalités de sécurité via un paramètre de configuration (`SIBLING_CONTAINERS_ENABLED` dans Toolkit, `SANDBOXED_COMPILES` dans legacy docker-compose/déploiements personnalisés). Si ces fonctionnalités de sécurité ne sont pas activées, les utilisateurs ont accès aux ressources du conteneur `sharelatex` (système de fichiers, réseau, variables d'environnement) lors des exécutions de compilations, ce qui entraîne plusieurs vulnérabilités d'accès aux fichiers, soit directement, soit via des liens symboliques créés pendant les compilations. Le paramètre a désormais été modifié pour être sécurisé par défaut pour les nouvelles installations dans Toolkit et legacy docker-compose deployment. Overleaf Toolkit a été mis à jour afin de définir `SIBLING_CONTAINERS_ENABLED=true` par défaut pour les nouvelles installations. Il est recommandé que toutes les installations existantes utilisant l'ancien paramètre par défaut migrent vers l'utilisation de conteneurs frères (sibling containers). Les installations existantes peuvent définir `SIBLING_CONTAINERS_ENABLED=true` dans `config/overleaf.rc` comme mesure d'atténuation. Dans legacy docker-compose/déploiements personnalisés, il convient d'utiliser `SANDBOXED_COMPILES=true`.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsable

GitHub M

Réserver

26/08/2024

Divulgation

02/09/2024

Modérer

accepté

Entrée

VDB-276338

CPE

prêt

EPSS

0.00341

KEV

non

Activités

très faible

Sources

Do you need the next level of professionalism?

Upgrade your account now!