CVE-2026-33046 CVSS 8.8 高危

CVE-2026-33046 Indico LaTeX注入致RCE漏洞

披露日期: 2026-03-23

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-33046

漏洞类型

远程代码执行 (RCE) / LaTeX注入

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Indico

漏洞概述

Indico事件管理系统在3.3.12之前的版本中存在严重安全漏洞。由于依赖的TeXLive组件存在漏洞，且存在某些晦涩的LaTeX语法，攻击者可以绕过Indico的LaTeX清理器。通过构造特制的LaTeX代码片段，攻击者能够在服务器上读取本地文件或执行任意代码，前提是服务器启用了LaTeX渲染功能。

技术细节

该漏洞的核心在于Indico对LaTeX语名的清理机制可被绕过。由于依赖的TeXLive组件存在已知漏洞，且存在某些晦涩的LaTeX语法，Indico内置的过滤器无法完全识别和拦截恶意载荷。攻击者若拥有低权限账号，可提交精心设计的LaTeX代码。当服务器端配置了`XELATEX_PATH`进行渲染时，这些恶意代码会被XeLaTeX引擎处理，导致攻击者能够读取服务器本地敏感文件或执行任意系统命令。这种攻击利用了应用层对底层排版引擎的信任，实现了从Web应用到操作系统的权限提升或代码执行。

攻击链分析

STEP 1

侦察

攻击者确认目标运行的是Indico系统，且版本低于3.3.12，并检测是否启用了服务器端LaTeX渲染功能。

STEP 2

漏洞利用

攻击者利用低权限账户，通过输入字段提交包含恶意LaTeX指令（利用TeXLive漏洞或晦涩语法）的数据。

STEP 3

代码执行

服务器端处理用户提交的内容，调用XeLaTeX引擎渲染LaTeX，导致恶意载荷被解析，执行系统命令或读取文件。

STEP 4

权限提升与控制

攻击者利用Indico服务进程的权限，在服务器上执行任意操作，如获取敏感数据或建立后门。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

% PoC concept for LaTeX Injection leading to RCE
% This requires \write18 to be enabled (shell escape)
\documentclass{article}
\begin{document}
  % Attempt to read /etc/passwd
  \input{/etc/passwd}
  
  % Attempt to execute a command (e.g., whoami)
  \immediate\write18{whoami > /tmp/pwned.txt}
  \immediate\write18{id}
\end{document}

影响范围

Indico < 3.3.12

防御指南

临时缓解措施

如果无法立即升级，请采取临时缓解措施：在`indico.conf`配置文件中移除`XELATEX_PATH`设置（将其注释掉或设置为None），然后重启`indico-uwsgi`和`indico-celery`服务以禁用LaTeX功能。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表