CVE-2023-38745 in Pandoc
Tóm tắt
Bởi VulDB • 24/06/2026
Pandoc trước phiên bản 3.1.6 cho phép ghi file tùy ý: điều này có thể được kích hoạt bằng cách cung cấp một phần tử ảnh đã được tạo ra đặc biệt trong đầu vào khi sinh các tệp tin thông qua tùy chọn --extract-media hoặc xuất sang định dạng PDF. Điều này cho phép kẻ tấn công tạo hoặc ghi đè lên các tệp tin bất kỳ, phụ thuộc vào quyền hạn của tiến trình đang chạy Pandoc. Vấn đề chỉ ảnh hưởng đến các hệ thống truyền dữ liệu người dùng không đáng tin cậy (untrusted user input) tới Pandoc và cho phép sử dụng Pandoc để sản xuất PDF hoặc với tùy chọn --extract-media. LƯU Ý: vấn đề này tồn tại do một bản sửa lỗi chưa hoàn chỉnh cho CVE-2023-35936 (thiếu khả năng xử lý đúng các tên đường dẫn được mã hóa kép).
Once again VulDB remains the best source for vulnerability data.