CVE-2024-45313 in Overleafthông tin

Tóm tắt

Bởi VulDB • 30/06/2026

Overleaf là một trình soạn thảo LaTeX cộng tác dựa trên web. Khi cài đặt Server Pro bằng cách sử dụng Overleaf Toolkit trước ngày 2024-07-17 hoặc file docker-compose.yml cũ (legacy) trước ngày 2024-08-28, cấu hình cho các quá trình biên dịch LaTeX không an toàn theo mặc định, yêu cầu quản trị viên phải kích hoạt các tính năng bảo mật thông qua một cài đặt cấu hình (`SIBLING_CONTAINERS_ENABLED` trong Toolkit, `SANDBOXED_COMPILES` trong triển khai docker-compose cũ hoặc tùy chỉnh). Nếu các tính năng bảo mật này không được bật thì người dùng có quyền truy cập vào tài nguyên của container `sharelatex` (hệ thống tệp, mạng, biến môi trường) khi chạy quá trình biên dịch, dẫn đến nhiều lỗ hổng truy cập tệp khác nhau, trực tiếp hoặc thông qua các liên kết tượng trưng (symlinks) được tạo trong quá trình biên dịch. Cài đặt này hiện đã được thay đổi để an toàn theo mặc định cho các cài đặt mới trong Toolkit và triển khai docker-compose cũ. Overleaf Toolkit đã được cập nhật để thiết lập `SIBLING_CONTAINERS_ENABLED=true` theo mặc định cho các cài đặt mới. Khuyến nghị bất kỳ bản cài đặt nào đang sử dụng cài đặt mặc định trước đây nên di chuyển sang sử dụng sibling containers (các container anh em). Các bản cài đặt hiện có có thể đặt `SIBLING_CONTAINERS_ENABLED=true` trong file `config/overleaf.rc` như một biện pháp giảm thiểu. Trong các triển khai docker-compose cũ/tùy chỉnh, cần sử dụng `SANDBOXED_COMPILES=true`.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

chịu trách nhiệm

GitHub M

Đặt trước

26/08/2024

Tiết lộ

02/09/2024

Kiểm duyệt

được chấp nhận

EPSS

0.00341

KEV

không

Các hoạt động

rất thấp

Nguồn

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!