Plataforma
python
Componente
indico
Corrigido em
3.3.13
3.3.12
O CVE-2026-33046 representa uma vulnerabilidade de Execução Remota de Código (RCE) no software Indico, afetando versões até 3.3.9. A exploração aproveita falhas na renderização LaTeX, permitindo que atacantes executem código malicioso no servidor com as permissões do usuário Indico. A atualização para a versão 3.3.12 é altamente recomendada para mitigar este risco.
Esta vulnerabilidade permite a um atacante injetar trechos LaTeX especialmente criados que podem ler arquivos locais ou executar código no servidor Indico. O impacto é significativo, pois um atacante pode obter acesso a informações confidenciais armazenadas no servidor, comprometer a integridade do sistema e potencialmente obter controle total sobre a máquina. A exploração é facilitada por vulnerabilidades em TeXLive e pela capacidade de contornar o sanitizador LaTeX do Indico. A gravidade é ampliada pelo fato de que a execução ocorre com as permissões do usuário que executa o Indico, o que pode ser um usuário com privilégios elevados.
Este CVE foi publicado em 2026-03-23. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A existência de vulnerabilidades em TeXLive pode indicar um risco potencial de exploração, mas a necessidade de trechos LaTeX especialmente criados pode limitar a facilidade de exploração. A ausência de um PoC público não garante a segurança, mas reduz a probabilidade de exploração imediata.
Organizations using Indico for event management, particularly those relying on server-side LaTeX rendering for document generation or display, are at risk. This includes academic institutions, research organizations, and conference organizers who may be running Indico on shared hosting environments or legacy infrastructure.
• linux / server:
journalctl -u indico | grep -i "latex"• python:
import os
with open('/opt/indico/indico.conf', 'r') as f:
if 'XELATEX_PATH' in f.read():
print('XELATEX_PATH is set - vulnerability may be present')• generic web:
curl -I http://your-indico-server/some/latex/endpoint• generic web: Inspect Indico access logs for requests containing unusual or obfuscated LaTeX code.
disclosure
Status do Exploit
EPSS
0.08% (percentil 25%)
CISA SSVC
A principal mitigação para o CVE-2026-33046 é a atualização imediata para a versão 3.3.12 do Indico. Se a atualização imediata não for possível, desative a renderização LaTeX no Indico removendo ou comentando a variável XELATEX_PATH no arquivo indico.conf. Considere a implementação de regras de firewall ou proxy para restringir o acesso à interface de renderização LaTeX, se utilizada. Monitore os logs do Indico em busca de atividades suspeitas relacionadas à renderização LaTeX.
Actualice Indico a la versión 3.3.12 o posterior. Como alternativa, deshabilite la funcionalidad LaTeX eliminando la configuración `XELATEX_PATH` de `indico.conf` y reinicie los servicios `indico-uwsgi` y `indico-celery`. Se recomienda habilitar el renderizador LaTeX en contenedores (usando `podman`) para aislarlo del resto del sistema.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-33046 is a Remote Code Execution vulnerability in Indico versions up to 3.3.9, allowing attackers to execute code via malicious LaTeX snippets.
You are affected if you are running Indico versions 3.3.9 or earlier and have server-side LaTeX rendering enabled (XELATEX_PATH is set).
Upgrade to Indico version 3.3.12 or later. Alternatively, disable server-side LaTeX rendering by removing the XELATEX_PATH setting from indico.conf.
There is currently no evidence of active exploitation, but the vulnerability's nature suggests potential for future attacks.
Refer to the Indico GitHub release notes for version 3.3.12: https://github.com/indico/indico/releases/tag/v3.3.12
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.