CVE-2020-36962
CriticalSummary
Tendenci 12.3.1 zawiera podatność na wstrzykiwanie formuł CSV w polu wiadomości formularza kontaktowego, co pozwala atakującym na wstrzykiwanie złośliwych formuł podczas eksportu. Atakujący mogą przesyłać przygotowane ładunki, które prowadzą do wykonania dowolnych poleceń po otwarciu pliku CSV w aplikacjach arkusza kalkulacyjnego.
Risk Assessment
Podatność ta stwarza ryzyko wykonania złośliwego kodu na systemach użytkowników, którzy otworzą zainfekowany plik CSV. Może to prowadzić do utraty danych, przejęcia kontroli nad systemem lub innych poważnych incydentów bezpieczeństwa.
Recommendation
Zaleca się aktualizację do najnowszej wersji Tendenci oraz wdrożenie filtracji i walidacji danych w formularzach kontaktowych, aby zapobiec wstrzykiwaniu złośliwych formuł.
Original NVD description (English source)
Tendenci 12.3.1 contains a CSV formula injection vulnerability in the contact form message field that allows attackers to inject malicious formulas during export. Attackers can submit crafted payloads like '=10+20+cmd|' /C calc'!A0' in the message field to trigger arbitrary command execution when the CSV is opened in spreadsheet applications.

