प्लेटफ़ॉर्म
python
घटक
indico
में ठीक किया गया
3.3.13
3.3.12
CVE-2026-33046 एक रिमोट कोड एग्जीक्यूशन (RCE) भेद्यता है जो इंडिको (Indico) के संस्करण 3.3.9 और उससे पहले को प्रभावित करती है। इस भेद्यता का उपयोग करके, एक हमलावर दुर्भावनापूर्ण LaTeX स्निपेट्स के माध्यम से स्थानीय फ़ाइलों को पढ़ सकता है या सर्वर पर इंडिको चलाने वाले उपयोगकर्ता के विशेषाधिकारों के साथ कोड निष्पादित कर सकता है। प्रभावित संस्करणों में इंडिको 3.3.0 से 3.3.9 शामिल हैं। इस समस्या को हल करने के लिए इंडिको 3.3.12 में अपडेट करने की अनुशंसा की जाती है।
CVE-2026-33046 के कारण, एक हमलावर इंडिको सर्वर पर मनमाना कोड निष्पादित कर सकता है, जिससे डेटा चोरी, सिस्टम समझौता और संभावित रूप से अन्य सिस्टम तक पहुंच प्राप्त हो सकती है। यह भेद्यता विशेष रूप से चिंताजनक है क्योंकि यह LaTeX रेंडरिंग के माध्यम से शोषण किया जाता है, जो अक्सर वैज्ञानिक और तकनीकी दस्तावेजों को संसाधित करने के लिए उपयोग किया जाता है। यदि सर्वर-साइड LaTeX रेंडरिंग का उपयोग नहीं किया जा रहा है (अर्थात XELATEX_PATH indico.conf में सेट नहीं है), तो यह भेद्यता लागू नहीं होती है। हमलावर इंडिको के कॉन्फ़िगरेशन फ़ाइलों, डेटाबेस सामग्री और अन्य संवेदनशील जानकारी तक पहुंच प्राप्त कर सकते हैं।
यह भेद्यता अभी तक सक्रिय रूप से शोषण किए जाने की पुष्टि नहीं की गई है, लेकिन LaTeX के माध्यम से कोड निष्पादन की संभावना के कारण इसका शोषण किया जा सकता है। CISA KEV सूची में इसकी स्थिति अज्ञात है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (POC) अभी तक नहीं देखा गया है, लेकिन भेद्यता की प्रकृति के कारण इसका विकास संभव है। NVD और CISA ने 2026-03-23 को इस भेद्यता को प्रकाशित किया।
Organizations using Indico for event management, particularly those relying on server-side LaTeX rendering for document generation or display, are at risk. This includes academic institutions, research organizations, and conference organizers who may be running Indico on shared hosting environments or legacy infrastructure.
• linux / server:
journalctl -u indico | grep -i "latex"• python:
import os
with open('/opt/indico/indico.conf', 'r') as f:
if 'XELATEX_PATH' in f.read():
print('XELATEX_PATH is set - vulnerability may be present')• generic web:
curl -I http://your-indico-server/some/latex/endpoint• generic web: Inspect Indico access logs for requests containing unusual or obfuscated LaTeX code.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.08% (25% शतमक)
CISA SSVC
CVE-2026-33046 को कम करने के लिए, इंडिको को संस्करण 3.3.12 में अपडेट करना महत्वपूर्ण है। यदि तत्काल अपडेट संभव नहीं है, तो LaTeX रेंडरिंग को अक्षम करने पर विचार करें यदि इसका उपयोग आवश्यक नहीं है। यदि LaTeX रेंडरिंग को अक्षम नहीं किया जा सकता है, तो सुनिश्चित करें कि XELATEX_PATH indico.conf में सेट नहीं है। वेब एप्लिकेशन फ़ायरवॉल (WAF) नियमों को लागू करें जो दुर्भावनापूर्ण LaTeX इनपुट को फ़िल्टर करते हैं। इंडिको के लॉग की नियमित रूप से निगरानी करें ताकि असामान्य गतिविधि का पता लगाया जा सके। अपडेट करने के बाद, यह सत्यापित करें कि LaTeX रेंडरिंग ठीक से काम कर रही है और कोई त्रुटि नहीं है।
Actualice Indico a la versión 3.3.12 o posterior. Como alternativa, deshabilite la funcionalidad LaTeX eliminando la configuración `XELATEX_PATH` de `indico.conf` y reinicie los servicios `indico-uwsgi` y `indico-celery`. Se recomienda habilitar el renderizador LaTeX en contenedores (usando `podman`) para aislarlo del resto del sistema.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-33046 इंडिको के संस्करण 3.3.9 या उससे पहले में एक रिमोट कोड एग्जीक्यूशन (RCE) भेद्यता है जो दुर्भावनापूर्ण LaTeX स्निपेट्स के माध्यम से कोड निष्पादित करने की अनुमति देती है।
यदि आप इंडिको के संस्करण 3.3.0 से 3.3.9 का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
इंडिको को संस्करण 3.3.12 में अपडेट करें। यदि अपडेट संभव नहीं है, तो LaTeX रेंडरिंग को अक्षम करें या WAF नियमों को लागू करें।
अभी तक सक्रिय शोषण की पुष्टि नहीं हुई है, लेकिन इसका शोषण किया जा सकता है।
आप इंडिको के GitHub रिपॉजिटरी में सलाहकार पा सकते हैं: https://github.com/indico/indico/releases/tag/v3.3.12
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।