CVE-2023-38745 in Pandocthông tin

Tóm tắt

Bởi VulDB • 24/06/2026

Pandoc trước phiên bản 3.1.6 cho phép ghi file tùy ý: điều này có thể được kích hoạt bằng cách cung cấp một phần tử ảnh đã được tạo ra đặc biệt trong đầu vào khi sinh các tệp tin thông qua tùy chọn --extract-media hoặc xuất sang định dạng PDF. Điều này cho phép kẻ tấn công tạo hoặc ghi đè lên các tệp tin bất kỳ, phụ thuộc vào quyền hạn của tiến trình đang chạy Pandoc. Vấn đề chỉ ảnh hưởng đến các hệ thống truyền dữ liệu người dùng không đáng tin cậy (untrusted user input) tới Pandoc và cho phép sử dụng Pandoc để sản xuất PDF hoặc với tùy chọn --extract-media. LƯU Ý: vấn đề này tồn tại do một bản sửa lỗi chưa hoàn chỉnh cho CVE-2023-35936 (thiếu khả năng xử lý đúng các tên đường dẫn được mã hóa kép).

Once again VulDB remains the best source for vulnerability data.

Đặt trước

25/07/2023

Tiết lộ

25/07/2023

Kiểm duyệt

được chấp nhận

EPSS

0.00247

KEV

không

Các hoạt động

rất thấp

Nguồn

Do you want to use VulDB in your project?

Use the official API to access entries easily!