Indico がローカルファイルを公開し、LaTeX インジェクションを通じてリモートコード実行を許容する

この脆弱性を悪用されると、攻撃者はIndicoサーバー上で任意のコードを実行できます。これにより、機密情報の窃取、システムの改ざん、さらにはサーバー全体の制御権の奪取といった深刻な被害が発生する可能性があります。特に、LaTeXレンダリングが有効になっている環境では、この脆弱性のリスクが高まります。攻撃者は、悪意のあるLaTeXスニペットをIndicoに送信することで、ローカルファイルを読み取ったり、サーバー上でコードを実行したりすることが可能です。類似の脆弱性は、LaTeX処理パイプラインにおけるサニタイズの不備から発生することがあります。

Organizations using Indico for event management, particularly those relying on server-side LaTeX rendering for document generation or display, are at risk. This includes academic institutions, research organizations, and conference organizers who may be running Indico on shared hosting environments or legacy infrastructure.

• linux / server:

journalctl -u indico | grep -i "latex"

• python:

import os
with open('/opt/indico/indico.conf', 'r') as f:
    if 'XELATEX_PATH' in f.read():
        print('XELATEX_PATH is set - vulnerability may be present')

• generic web:

curl -I http://your-indico-server/some/latex/endpoint

• generic web: Inspect Indico access logs for requests containing unusual or obfuscated LaTeX code.

1. 2026-03-23Disclosure

   disclosure

1. 予約済み2026-03-17
2. 公開日2026-03-23
3. 更新日2026-03-25
4. EPSS 更新日2026-03-31

この脆弱性への最も効果的な対策は、Indicoをバージョン3.3.12にアップデートすることです。アップデートがすぐに難しい場合は、サーバーサイドのLaTeXレンダリングを無効にする（XELATEX_PATHをindico.confで未設定にする）ことで、脆弱性の影響を軽減できます。また、Webアプリケーションファイアウォール（WAF）やリバースプロキシを使用して、悪意のあるLaTeX入力をブロックすることも有効です。Indicoのログを監視し、異常なLaTeX処理の兆候を検出することも重要です。アップデート後、Indicoのバージョンが3.3.12であることを確認してください。