CVE-2024-45313

Versões do Overleaf Server Pro anteriores a 17/07/2024

Overleaf Server Pro que utilize versões antigas do docker-compose.yml anteriores a 28/08/2024

O Overleaf é um editor colaborativo de LaTeX baseado na web. Ao instalar o Server Pro usando o Overleaf Toolkit anterior a 17/07/2024 ou o docker-compose.yml legado anterior a 28/08/2024, a configuração para compilações LaTeX era insegura por padrão. Isso exigia que o administrador ativasse os recursos de segurança por meio de uma configuração (SIBLING CONTAINERS ENABLED no Toolkit, SANDBOXED COMPILES em implementações legadas do docker-compose/custom). Se esses recursos de segurança não estiverem habilitados, os usuários terão acesso aos recursos do contêiner sharelatex (sistema de arquivos, rede, variáveis de ambiente) ao executar compilações, levando a várias vulnerabilidades de acesso a arquivos, seja diretamente ou por meio de links simbólicos criados durante as compilações.

Para instalações existentes que utilizam a configuração padrão anterior, migre para o uso de contêineres irmãos.

Defina SIBLING CONTAINERS ENABLED=true em config/overleaf.rc como medida de mitigação.

Em implantações legadas do docker-compose/personalizadas, use SANDBOXED COMPILES=true.