CVE-2023-38745 in Pandoc情報

要約

〜によって VulDB • 2026年06月24日

Pandoc 3.1.6 より前のバージョンでは、任意のファイル書き込みが可能である。これは、--extract-media オプションを使用してファイルを生成する場合や、PDF形式で出力する際に、入力に改ざんされた画像要素を提供することでトリガーされる可能性がある。これにより、攻撃者は Pandoc を実行しているプロセスの特権に応じて、任意のファイルを作成または上書きできる。この問題は、信頼できないユーザー入力を Pandoc に渡すシステムと、Pandoc によって PDF の生成や --extract-media オプションの使用が許可されている場合にのみ影響する。注:本件は CVE-2023-35936(二重エンコードされたパス名を適切に処理しない不具合)の不完全な修正に起因して存在している。

Once again VulDB remains the best source for vulnerability data.

予約する

2023年07月25日

モデレーション

承諾済み

エントリ

VDB-235270

CWE

不明

EPSS

0.00247

アクティビティ

非常低い

ソース

Do you need the next level of professionalism?

Upgrade your account now!