Platform
python
Component
indico
Opgelost in
3.3.13
3.3.12
CVE-2026-33046 is een Remote Code Execution (RCE) kwetsbaarheid in Indico, een open-source conferentie management systeem. Deze kwetsbaarheid stelt aanvallers in staat om lokale bestanden te lezen of code uit te voeren met de privileges van de gebruiker die Indico op de server uitvoert. De kwetsbaarheid treedt op in versies van Indico tot en met 3.3.9. Een update naar versie 3.3.12 is beschikbaar om dit probleem te verhelpen.
Deze kwetsbaarheid is ernstig omdat een succesvolle exploitatie kan leiden tot volledige controle over de server waarop Indico draait. Een aanvaller kan gevoelige informatie lezen, zoals configuratiebestanden en database-credentials. Bovendien kan de aanvaller kwaadaardige code uitvoeren, waardoor de server kan worden gebruikt voor verdere aanvallen, zoals het verspreiden van malware of het uitvoeren van denial-of-service aanvallen. De kwetsbaarheid is te wijten aan onvoldoende sanitatie van LaTeX-code, waardoor een aanvaller speciale LaTeX-snippets kan gebruiken om de beveiliging te omzeilen. Dit is vergelijkbaar met kwetsbaarheden die in het verleden in andere LaTeX-verwerkingssystemen zijn aangetroffen.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2026-03-23. Er zijn momenteel geen publieke proof-of-concept exploits bekend, maar de complexiteit van LaTeX-sanitatie maakt het waarschijnlijk dat er in de toekomst exploits beschikbaar komen. De KEV-status is momenteel onbekend. Het is belangrijk om deze kwetsbaarheid serieus te nemen en zo snel mogelijk te patchen.
Organizations using Indico for event management, particularly those relying on server-side LaTeX rendering for document generation or display, are at risk. This includes academic institutions, research organizations, and conference organizers who may be running Indico on shared hosting environments or legacy infrastructure.
• linux / server:
journalctl -u indico | grep -i "latex"• python:
import os
with open('/opt/indico/indico.conf', 'r') as f:
if 'XELATEX_PATH' in f.read():
print('XELATEX_PATH is set - vulnerability may be present')• generic web:
curl -I http://your-indico-server/some/latex/endpoint• generic web: Inspect Indico access logs for requests containing unusual or obfuscated LaTeX code.
disclosure
Exploit Status
EPSS
0.08% (25% percentiel)
CISA SSVC
De belangrijkste mitigatie is het updaten naar Indico versie 3.3.12 of hoger. Als een directe upgrade niet mogelijk is, overweeg dan om server-side LaTeX rendering uit te schakelen door de XELATEX_PATH niet in indico.conf te zetten. Dit voorkomt dat de kwetsbaarheid van toepassing is. Controleer ook de toegang tot de Indico-server en beperk deze tot vertrouwde gebruikers. Implementeer een Web Application Firewall (WAF) met regels die kwaadaardige LaTeX-code detecteren en blokkeren. Na de upgrade, controleer de Indico-logbestanden op verdachte activiteiten en bevestig dat de kwetsbaarheid is verholpen door het proberen van een exploitatiepoging met een bekende payload (en deze te blokkeren).
Actualice Indico a la versión 3.3.12 o posterior. Como alternativa, deshabilite la funcionalidad LaTeX eliminando la configuración `XELATEX_PATH` de `indico.conf` y reinicie los servicios `indico-uwsgi` y `indico-celery`. Se recomienda habilitar el renderizador LaTeX en contenedores (usando `podman`) para aislarlo del resto del sistema.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-33046 is a Remote Code Execution vulnerability in Indico versions up to 3.3.9, allowing attackers to execute code via malicious LaTeX snippets.
You are affected if you are running Indico versions 3.3.9 or earlier and have server-side LaTeX rendering enabled (XELATEX_PATH is set).
Upgrade to Indico version 3.3.12 or later. Alternatively, disable server-side LaTeX rendering by removing the XELATEX_PATH setting from indico.conf.
There is currently no evidence of active exploitation, but the vulnerability's nature suggests potential for future attacks.
Refer to the Indico GitHub release notes for version 3.3.12: https://github.com/indico/indico/releases/tag/v3.3.12
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.