CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2018-25135

Critical
Published: Translated: NVD NIST

Summary

Anviz AIM CrossChex Standard w wersji 4.3.6.0 zawiera podatność na wstrzykiwanie CSV, która pozwala atakującym na wykonywanie poleceń poprzez wstawianie złośliwych formuł w polach importu użytkowników. Atakujący mogą przygotować ładunki w polach takich jak 'Imię', 'Płeć' czy 'Stanowisko', co może prowadzić do uruchomienia makr Excela podczas importu danych użytkowników.

Risk Assessment

Podatność ta stwarza ryzyko wykonania złośliwego kodu na systemach użytkowników, którzy importują dane, co może prowadzić do utraty danych lub przejęcia kontroli nad systemem. Organizacje powinny być świadome potencjalnych zagrożeń związanych z importem danych z niezaufanych źródeł.

Recommendation

Zaleca się unikanie importowania danych z niezaufanych źródeł oraz wdrożenie filtrów, które blokują wstrzykiwanie złośliwych formuł w polach importu. Dodatkowo, warto zaktualizować oprogramowanie do najnowszej wersji, aby zminimalizować ryzyko.

Original NVD description (English source)

Anviz AIM CrossChex Standard 4.3.6.0 contains a CSV injection vulnerability that allows attackers to execute commands by inserting malicious formulas in user import fields. Attackers can craft payloads in fields like 'Name', 'Gender', or 'Position' to trigger Excel macro execution when importing user data.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS