CVE-2018-25135
KrytyczneStreszczenie
Anviz AIM CrossChex Standard w wersji 4.3.6.0 zawiera podatność na wstrzykiwanie CSV, która pozwala atakującym na wykonywanie poleceń poprzez wstawianie złośliwych formuł w polach importu użytkowników. Atakujący mogą przygotować ładunki w polach takich jak 'Imię', 'Płeć' czy 'Stanowisko', co może prowadzić do uruchomienia makr Excela podczas importu danych użytkowników.
Ocena ryzyka
Podatność ta stwarza ryzyko wykonania złośliwego kodu na systemach użytkowników, którzy importują dane, co może prowadzić do utraty danych lub przejęcia kontroli nad systemem. Organizacje powinny być świadome potencjalnych zagrożeń związanych z importem danych z niezaufanych źródeł.
Rekomendacja
Zaleca się unikanie importowania danych z niezaufanych źródeł oraz wdrożenie filtrów, które blokują wstrzykiwanie złośliwych formuł w polach importu. Dodatkowo, warto zaktualizować oprogramowanie do najnowszej wersji, aby zminimalizować ryzyko.
Oryginalny opis (angielski, źródło NVD)
Anviz AIM CrossChex Standard 4.3.6.0 contains a CSV injection vulnerability that allows attackers to execute commands by inserting malicious formulas in user import fields. Attackers can craft payloads in fields like 'Name', 'Gender', or 'Position' to trigger Excel macro execution when importing user data.

