CVE-2020-36962
KrytyczneStreszczenie
Tendenci 12.3.1 zawiera podatność na wstrzykiwanie formuł CSV w polu wiadomości formularza kontaktowego, co pozwala atakującym na wstrzykiwanie złośliwych formuł podczas eksportu. Atakujący mogą przesyłać przygotowane ładunki, które prowadzą do wykonania dowolnych poleceń po otwarciu pliku CSV w aplikacjach arkusza kalkulacyjnego.
Ocena ryzyka
Podatność ta stwarza ryzyko wykonania złośliwego kodu na systemach użytkowników, którzy otworzą zainfekowany plik CSV. Może to prowadzić do utraty danych, przejęcia kontroli nad systemem lub innych poważnych incydentów bezpieczeństwa.
Rekomendacja
Zaleca się aktualizację do najnowszej wersji Tendenci oraz wdrożenie filtracji i walidacji danych w formularzach kontaktowych, aby zapobiec wstrzykiwaniu złośliwych formuł.
Oryginalny opis (angielski, źródło NVD)
Tendenci 12.3.1 contains a CSV formula injection vulnerability in the contact form message field that allows attackers to inject malicious formulas during export. Attackers can submit crafted payloads like '=10+20+cmd|' /C calc'!A0' in the message field to trigger arbitrary command execution when the CSV is opened in spreadsheet applications.

