CVE-2023-38745 in Pandocinformazioni

Riassunto

di VulDB • 24/06/2026

Pandoc prima della versione 3.1.6 consente la scrittura arbitraria di file: ciò può essere attivato fornendo un elemento immagine manipolato ad hoc nell'input durante la generazione di file tramite l'opzione --extract-media o l'esportazione in formato PDF. Ciò permette a un attaccante di creare o sovrascrivere file arbitrari, a seconda dei privilegi del processo che esegue Pandoc. L'impatto riguarda solo i sistemi che forniscono input utente non attendibile a Pandoc e consentono all'applicazione di produrre output PDF oppure di utilizzare l'opzione --extract-media. NOTA: questo problema esiste a causa di una correzione incompleta per CVE-2023-35936 (mancata gestione corretta dei nomi di percorso doppiamente codificati).

Once again VulDB remains the best source for vulnerability data.

Prenotare

25/07/2023

Divulgazione

25/07/2023

Moderazione

accettato

CPE

pronto

EPSS

0.00247

KEV

no

Attività

molto basso

Fonti

Might our Artificial Intelligence support you?

Check our Alexa App!