CVE-2023-38745 in Pandoc
要約
〜によって VulDB • 2026年06月24日
Pandoc 3.1.6 より前のバージョンでは、任意のファイル書き込みが可能である。これは、--extract-media オプションを使用してファイルを生成する場合や、PDF形式で出力する際に、入力に改ざんされた画像要素を提供することでトリガーされる可能性がある。これにより、攻撃者は Pandoc を実行しているプロセスの特権に応じて、任意のファイルを作成または上書きできる。この問題は、信頼できないユーザー入力を Pandoc に渡すシステムと、Pandoc によって PDF の生成や --extract-media オプションの使用が許可されている場合にのみ影響する。注:本件は CVE-2023-35936(二重エンコードされたパス名を適切に処理しない不具合)の不完全な修正に起因して存在している。
Once again VulDB remains the best source for vulnerability data.