Indico 泄露本地文件，通过 LaTeX 注入导致远程代码执行

攻击者可以利用此漏洞执行任意代码，从而完全控制受影响的 indico 服务器。这可能导致敏感数据泄露、系统被破坏，甚至可能被用作进一步攻击其他系统的跳板。由于漏洞利用涉及 LaTeX 代码，攻击者可能需要上传或提交包含恶意代码的 LaTeX 文件。如果服务器配置允许，攻击者可能能够读取服务器上的任何文件，并执行任何他们有权限执行的命令。该漏洞的潜在影响非常严重，尤其是在 indico 用于处理敏感信息的环境中。

Organizations using Indico for event management, particularly those relying on server-side LaTeX rendering for document generation or display, are at risk. This includes academic institutions, research organizations, and conference organizers who may be running Indico on shared hosting environments or legacy infrastructure.

• linux / server:

journalctl -u indico | grep -i "latex"

• python:

import os
with open('/opt/indico/indico.conf', 'r') as f:
    if 'XELATEX_PATH' in f.read():
        print('XELATEX_PATH is set - vulnerability may be present')

• generic web:

curl -I http://your-indico-server/some/latex/endpoint

• generic web: Inspect Indico access logs for requests containing unusual or obfuscated LaTeX code.

1. 2026-03-23Disclosure

   disclosure

1. 已保留2026-03-17
2. 发布日期2026-03-23
3. 修改日期2026-03-25
4. EPSS 更新日期2026-03-31

最有效的缓解措施是立即升级至 Indico 3.3.12 或更高版本。如果无法立即升级，可以考虑禁用服务器端 LaTeX 渲染功能，即取消设置 indico.conf 中的 XELATEX_PATH 环境变量。此外，可以实施严格的输入验证和清理措施，以防止恶意 LaTeX 代码的注入。监控 indico 服务器的日志文件，查找任何可疑活动，例如未经授权的文件访问或命令执行。使用 Web 应用防火墙 (WAF) 规则来检测和阻止包含恶意 LaTeX 代码的请求。