anonhaven

CVE-2026-33046

HIGH CVSS 4.0: 7,7 EPSS 0.10%
Обновлено 24 марта 2026
Cern
Параметр Значение
CVSS 7,7 (HIGH)
Уязвимые версии до 3.3.12
Устранено в версии 3.3.12
Тип уязвимости CWE-22 (Обход пути), CWE-78 (Внедрение команд ОС)
Поставщик Cern
Публичный эксплойт Нет

Indico — это система управления событиями, использующая Flask-Multipass, систему аутентификации с несколькими серверами для Flask. В версиях до 3.3.12 из-за уязвимостей в TeXLive и неясного синтаксиса LaTeX, позволяющего обойти дезинфицирующее средство LaTeX Indico, можно использовать специально созданные фрагменты LaTeX, которые могут читать локальные файлы или выполнять код с привилегиями пользователя, запускающего Indico на сервере. Обратите внимание: если рендеринг LaTeX на стороне сервера не используется (т. е. XELATEX_PATH не был установлен в indico.conf), эта уязвимость не применяется.

Рекомендуется как можно скорее обновиться до Indico 3.3.12. Также настоятельно рекомендуется включить контейнерный рендерер LaTeX (с помощью podman), который изолирует его от остальной системы. В качестве обходного пути удалите параметр XELATEX_PATH из indico.conf (или закомментируйте его или установите для него значение «Нет») и перезапустите службы «indico-uwsgi» и «indico-celery», чтобы отключить функциональность LaTeX.

Показать оригинальное описание (EN)

Indico is an event management system that uses Flask-Multipass, a multi-backend authentication system for Flask. In versions prior to 3.3.12, due to vulnerabilities in TeXLive and obscure LaTeX syntax that allowed circumventing Indico's LaTeX sanitizer, it is possible to use specially-crafted LaTeX snippets which can read local files or execute code with the privileges of the user running Indico on the server. Note that if server-side LaTeX rendering is not in use (ie `XELATEX_PATH` was not set in `indico.conf`), this vulnerability does not apply. It is recommended to update to Indico 3.3.12 as soon as possible. It is also strongly recommended to enable the containerized LaTeX renderer (using `podman`), which isolates it from the rest of the system. As a workaround, remove the `XELATEX_PATH` setting from `indico.conf` (or comment it out or set it to `None`) and restart the `indico-uwsgi` and `indico-celery` services to disable LaTeX functionality.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Требуются
Нужны дополнительные условия
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании

Строка CVSS v4.0

Тип уязвимости (CWE)

CWE-22 Path Traversal (Обход пути)
CWE-78 OS Command Injection (Внедрение команд ОС)

Уязвимые продукты 1

Конфигурация От (включительно) До (исключительно)
Cern Indico
cpe:2.3:a:cern:indico:*:*:*:*:*:*:*:*
 3.3.12

Ссылки 6

https://github.com/indico/indico/commit/0adb70f0ed66e129361d447868f5f3eb90dc5e96
security-advisories@github.com
https://github.com/indico/indico/commit/1dbb12525b3de14229bf4d1ae192988068f975f6
security-advisories@github.com
https://github.com/indico/indico/commit/5f24d23ce9c4b0e4b68b3d0b58987a948fc57c8a
security-advisories@github.com
https://github.com/indico/indico/commit/fb169ced710c30cf792ce4b9f48688db0633cfd8
security-advisories@github.com
https://github.com/indico/indico/releases/tag/v3.3.12
security-advisories@github.com
https://github.com/indico/indico/security/advisories/GHSA-rm2q-f7jv-3cfp
security-advisories@github.com
Share Post Share Share Share

Связанные уязвимости

CVE-2024-50633

Cern

7,5