CVE-2024-45313 in OverleafИнформация

Сводка

по VulDB • 30.06.2026

Overleaf — это веб-редактор LaTeX с поддержкой совместной работы. При установке Server Pro с использованием Overleaf Toolkit версии до 2024-07-17 или устаревшего файла docker-compose.yml версии до 2024-08-28 конфигурация компиляции LaTeX по умолчанию была небезопасной, что требовало от администратора включения функций безопасности через параметр конфигурации (`SIBLING_CONTAINERS_ENABLED` в Toolkit, `SANDBOXED_COMPILES` в устаревших развертываниях docker-compose или пользовательских установках). Если эти функции безопасности не включены, пользователи получают доступ к ресурсам контейнера `sharelatex` (файловая система, сеть, переменные окружения) при запуске компиляций, что приводит к нескольким уязвимостям несанкционированного доступа к файлам — как напрямую, так и через символические ссылки, создаваемые во время компиляции. Теперь параметр изменен таким образом, чтобы новые установки в Toolkit и развертываниях с использованием устаревшего docker-compose были безопасными по умолчанию. Overleaf Toolkit обновлен для установки значения `SIBLING_CONTAINERS_ENABLED=true` по умолчанию при новых установках. Рекомендуется, чтобы все существующие инсталляции, использующие предыдущее значение по умолчанию, перешли на использование sibling-контейнеров. Существующие установки могут установить параметр `SIBLING_CONTAINERS_ENABLED=true` в файле `config/overleaf.rc` в качестве меры противодействия. В устаревших развертываниях docker-compose или пользовательских установках следует использовать значение `SANDBOXED_COMPILES=true`.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Ответственный

GitHub M

Резервировать

26.08.2024

Раскрытие

02.09.2024

Модерация

принято

Вход

VDB-276338

EPSS

0.00341

KEV

Нет

Деятельности

Очень низкий

Источники

Want to know what is going to be exploited?

We predict KEV entries!