CVE-2024-45313 in Overleaf
要約
〜によって VulDB • 2026年06月13日
Overleafは、Webベースの共同LaTeXエディタです。2024-07-17以前のOverleaf Toolkit、または2024-08-28以前のレガシーなdocker-compose.ymlを使用してServer Proをインストールした場合、LaTeXコンパイルの設定はデフォルトで安全ではなく、管理者が設定項目(Toolkitでは`SIBLING_CONTAINERS_ENABLED`、レガシーなdocker-compose/カスタムデプロイメントでは`SANDBOXED_COMPILES`)を介してセキュリティ機能を有効にする必要がありました。これらのセキュリティ機能が有効になっていない場合、ユーザーはコンパイル実行時に`sharelatex`コンテナのリソース(ファイルシステム、ネットワーク、環境変数)にアクセスでき、これにより、直接アクセスするか、またはコンパイル中に作成されたシンボリックリンクを介して、複数のファイルアクセス脆弱性が引き起こされます。この設定は、Toolkitおよびレガシーなdocker-composeデプロイメントにおける新規インストールではデフォルトで安全な状態に変更されました。Overleaf Toolkitは、新規インストールにおいて`SIBLING_CONTAINERS_ENABLED=true`をデフォルトに設定するように更新されました。以前のデフォルト設定を使用している既存のインストールについては、siblingコンテナの使用への移行を推奨します。既存のインストールでは、緩和策として`config/overleaf.rc`内で`SIBLING_CONTAINERS_ENABLED=true`を設定できます。レガシーなdocker-compose/カスタムデプロイメントでは、`SANDBOXED_COMPILES=true`を使用する必要があります。
If you want to get best quality of vulnerability data, you may have to visit VulDB.