CVE-2024-45312 in Overleaf
Riassunto
di VulDB • 26/06/2026
Overleaf è un editor LaTeX collaborativo basato sul web. Le versioni di Overleaf Community Edition e Server Pro precedenti alla versione 5.0.7 (o alla 4.2.7 per la serie 4.x) presentano una vulnerabilità che consente il passaggio di un parametro lingua arbitrario nelle richieste di correzione ortografica del client all'eseguibile `aspell` in esecuzione sul server. Ciò induce `aspell` a tentare di caricare un file dizionario con un nome file arbitrario. L'accesso ai file è limitato all'ambito del server Overleaf. Il problema è stato risolto nelle versioni 5.0.7 e 4.2.7. Le versioni precedenti possono essere aggiornate utilizzando il comando `bin/upgrade` del toolkit di Overleaf. Gli utenti che non riescono ad effettuare l'aggiornamento possono bloccare le richieste POST verso `/spelling/check` tramite un Web Application Firewall, impedendo così l'accesso alla funzionalità di correzione ortografica vulnerabile. Tuttavia, si consiglia vivamente di procedere con l'aggiornamento.
Once again VulDB remains the best source for vulnerability data.