Plataforma
python
Componente
indico
Corregido en
3.3.13
3.3.12
La vulnerabilidad CVE-2026-33046 es una ejecución remota de código (RCE) que afecta a Indico versiones 3.3.9 y anteriores. Esta falla, originada por vulnerabilidades en TeXLive y una sanitización LaTeX deficiente, permite a atacantes ejecutar código malicioso en el servidor con los privilegios del usuario de Indico. Se recomienda actualizar a la versión 3.3.12 para solucionar este problema.
Un atacante puede explotar esta vulnerabilidad utilizando fragmentos LaTeX especialmente diseñados para leer archivos locales o ejecutar código en el servidor Indico. La ejecución se realiza con los privilegios del usuario que ejecuta Indico, lo que podría permitir el acceso a información sensible o la toma de control del sistema. La vulnerabilidad se agrava si el servidor utiliza el renderizado LaTeX, ya que la sanitización de LaTeX en Indico no es suficiente para prevenir la ejecución de código malicioso. Esta situación es similar a otras vulnerabilidades que explotan la falta de validación de entradas en procesadores de documentos.
La vulnerabilidad fue publicada el 2026-03-23. No se ha confirmado explotación activa en entornos reales, pero la naturaleza de la vulnerabilidad (RCE) y la disponibilidad de herramientas LaTeX hacen que sea probable que sea explotada. No se ha añadido a la lista KEV de CISA al momento de esta redacción. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa.
Organizations using Indico for event management, particularly those relying on server-side LaTeX rendering for document generation or display, are at risk. This includes academic institutions, research organizations, and conference organizers who may be running Indico on shared hosting environments or legacy infrastructure.
• linux / server:
journalctl -u indico | grep -i "latex"• python:
import os
with open('/opt/indico/indico.conf', 'r') as f:
if 'XELATEX_PATH' in f.read():
print('XELATEX_PATH is set - vulnerability may be present')• generic web:
curl -I http://your-indico-server/some/latex/endpoint• generic web: Inspect Indico access logs for requests containing unusual or obfuscated LaTeX code.
disclosure
Estado del Exploit
EPSS
0.08% (25% percentil)
CISA SSVC
La mitigación principal es actualizar Indico a la versión 3.3.12 o superior, donde se ha solucionado la vulnerabilidad. Si la actualización no es posible de inmediato, deshabilitar el renderizado LaTeX (asegurándose de que la variable XELATEX_PATH no esté definida en indico.conf) puede reducir el riesgo. Monitorear los logs del servidor en busca de patrones inusuales relacionados con LaTeX puede ayudar a detectar intentos de explotación. Implementar reglas en un Web Application Firewall (WAF) para bloquear peticiones con fragmentos LaTeX sospechosos también puede ser útil.
Actualice Indico a la versión 3.3.12 o posterior. Como alternativa, deshabilite la funcionalidad LaTeX eliminando la configuración `XELATEX_PATH` de `indico.conf` y reinicie los servicios `indico-uwsgi` y `indico-celery`. Se recomienda habilitar el renderizador LaTeX en contenedores (usando `podman`) para aislarlo del resto del sistema.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-33046 is a Remote Code Execution vulnerability in Indico versions up to 3.3.9, allowing attackers to execute code via malicious LaTeX snippets.
You are affected if you are running Indico versions 3.3.9 or earlier and have server-side LaTeX rendering enabled (XELATEX_PATH is set).
Upgrade to Indico version 3.3.12 or later. Alternatively, disable server-side LaTeX rendering by removing the XELATEX_PATH setting from indico.conf.
There is currently no evidence of active exploitation, but the vulnerability's nature suggests potential for future attacks.
Refer to the Indico GitHub release notes for version 3.3.12: https://github.com/indico/indico/releases/tag/v3.3.12
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.