Plateforme
python
Composant
indico
Corrigé dans
3.3.13
3.3.12
La vulnérabilité CVE-2026-33046 est une faille d'exécution de code à distance (RCE) affectant Indico, les versions inférieures ou égales à 3.3.9. Cette vulnérabilité exploite des faiblesses dans le rendu LaTeX côté serveur, permettant à un attaquant d'exécuter du code malveillant. La mise à jour vers la version 3.3.12 est fortement recommandée pour corriger cette faille.
Un attaquant peut exploiter cette vulnérabilité en utilisant des fragments LaTeX spécialement conçus pour contourner le mécanisme de protection de Indico. Cela permet la lecture de fichiers locaux sur le serveur, compromettant potentiellement des informations sensibles telles que des mots de passe, des clés API ou des données de configuration. De plus, l'attaquant peut exécuter du code arbitraire avec les privilèges de l'utilisateur exécutant Indico, ce qui pourrait conduire à une prise de contrôle complète du serveur. Cette vulnérabilité est particulièrement préoccupante car elle peut être exploitée sans authentification, ce qui augmente considérablement la surface d'attaque.
La vulnérabilité a été rendue publique le 23 mars 2026. Il n'y a pas d'indication d'une exploitation active à ce jour, ni d'ajout au KEV de CISA. Des preuves de concept (PoC) publiques pourraient être disponibles, ce qui pourrait augmenter le risque d'exploitation à l'avenir. Il est important de surveiller les forums de sécurité et les bases de données de vulnérabilités pour toute nouvelle information.
Organizations using Indico for event management, particularly those relying on server-side LaTeX rendering for document generation or display, are at risk. This includes academic institutions, research organizations, and conference organizers who may be running Indico on shared hosting environments or legacy infrastructure.
• linux / server:
journalctl -u indico | grep -i "latex"• python:
import os
with open('/opt/indico/indico.conf', 'r') as f:
if 'XELATEX_PATH' in f.read():
print('XELATEX_PATH is set - vulnerability may be present')• generic web:
curl -I http://your-indico-server/some/latex/endpoint• generic web: Inspect Indico access logs for requests containing unusual or obfuscated LaTeX code.
disclosure
Statut de l'Exploit
EPSS
0.08% (percentile 25%)
CISA SSVC
La mitigation principale consiste à mettre à jour Indico vers la version 3.3.12 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, désactiver temporairement le rendu LaTeX côté serveur en supprimant ou en commentant la variable XELATEX_PATH dans le fichier indico.conf peut réduire le risque. Surveiller les journaux d'accès et d'erreurs pour détecter des tentatives d'exploitation suspectes, en particulier celles impliquant des fragments LaTeX inhabituels. Après la mise à jour, vérifiez que le rendu LaTeX fonctionne correctement et qu'il n'y a pas de régressions.
Actualice Indico a la versión 3.3.12 o posterior. Como alternativa, deshabilite la funcionalidad LaTeX eliminando la configuración `XELATEX_PATH` de `indico.conf` y reinicie los servicios `indico-uwsgi` y `indico-celery`. Se recomienda habilitar el renderizador LaTeX en contenedores (usando `podman`) para aislarlo del resto del sistema.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-33046 is a Remote Code Execution vulnerability in Indico versions up to 3.3.9, allowing attackers to execute code via malicious LaTeX snippets.
You are affected if you are running Indico versions 3.3.9 or earlier and have server-side LaTeX rendering enabled (XELATEX_PATH is set).
Upgrade to Indico version 3.3.12 or later. Alternatively, disable server-side LaTeX rendering by removing the XELATEX_PATH setting from indico.conf.
There is currently no evidence of active exploitation, but the vulnerability's nature suggests potential for future attacks.
Refer to the Indico GitHub release notes for version 3.3.12: https://github.com/indico/indico/releases/tag/v3.3.12
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.