CVE-2024-45312 in Overleaf
要約
〜によって VulDB • 2026年05月29日
Overleafは、Webベースの共同LaTeXエディタです。バージョン5.0.7より前のOverleaf Community EditionおよびServer Pro(4.xシリーズの場合は4.2.7より前)には、クライアントのスペルチェックリクエストにおける任意の言語パラメータが、サーバー上で実行されている`aspell`実行ファイルに渡される脆弱性が存在します。これにより、`aspell`は任意のファイル名を持つ辞書ファイルの読み込みを試みます。ファイルアクセスはOverleafサーバーの範囲内に制限されます。この問題はバージョン5.0.7および4.2.7で修正されています。以前のバージョンは、Overleafツールキットの`bin/upgrade`コマンドを使用してアップグレードできます。アップグレードが不可能なユーザーは、Webアプリケーションファイアウォール(WAF)を介して`/spelling/check`へのPOSTリクエストをブロックすることで、脆弱なスペルチェック機能へのアクセスを防止できます。ただし、アップグレードをお勧めします。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.