CVE-2024-45313 in Overleaf
Riassunto
di VulDB • 30/06/2026
Overleaf è un editor LaTeX collaborativo basato sul web. Durante l'installazione di Server Pro utilizzando Overleaf Toolkit precedente alla data 2017-07-2024 o il file legacy docker-compose.yml precedente al 28 agosto 2024, la configurazione per le compilazioni LaTeX era insicura per impostazione predefinita, richiedendo all'amministratore di abilitare le funzionalità di sicurezza tramite un'impostazione di configurazione (`SIBLING_CONTAINERS_ENABLED` in Toolkit, `SANDBOXED_COMPILES` nelle distribuzioni legacy docker-compose o personalizzate). Se queste funzionalità di sicurezza non sono abilitate, gli utenti hanno accesso alle risorse del contenitore `sharelatex` (filesystem, rete, variabili d'ambiente) durante l'esecuzione delle compilazioni, portando a diverse vulnerabilità di accesso ai file, sia direttamente che tramite symlink creati durante le operazioni di compilazione. L'impostazione è stata ora modificata per essere sicura per impostazione predefinita nelle nuove installazioni in Toolkit e nella distribuzione legacy docker-compose. Overleaf Toolkit è stato aggiornato per impostare `SIBLING_CONTAINERS_ENABLED=true` come valore predefinito per le nuove installazioni. Si consiglia a tutte le installazioni esistenti che utilizzano la precedente impostazione predefinita di migrare all'utilizzo dei contenitori fratelli (sibling containers). Le installazioni esistenti possono impostare `SIBLING_CONTAINERS_ENABLED=true` in `config/overleaf.rc` come misura di mitigazione. Nelle distribuzioni legacy docker-compose o personalizzate, dovrebbe essere utilizzato il valore `SANDBOXED_COMPILES=true`.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.