Katalog CVE

CVE-2020-36962

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Tendenci 12.3.1 zawiera podatność na wstrzykiwanie formuł CSV w polu wiadomości formularza kontaktowego, co pozwala atakującym na wstrzykiwanie złośliwych formuł podczas eksportu. Atakujący mogą przesyłać przygotowane ładunki, które prowadzą do wykonania dowolnych poleceń po otwarciu pliku CSV w aplikacjach arkusza kalkulacyjnego.

Ocena ryzyka

Podatność ta stwarza ryzyko wykonania złośliwego kodu na systemach użytkowników, którzy otworzą zainfekowany plik CSV. Może to prowadzić do utraty danych, przejęcia kontroli nad systemem lub innych poważnych incydentów bezpieczeństwa.

Rekomendacja

Zaleca się aktualizację do najnowszej wersji Tendenci oraz wdrożenie filtracji i walidacji danych w formularzach kontaktowych, aby zapobiec wstrzykiwaniu złośliwych formuł.

Oryginalny opis (angielski, źródło NVD)

Tendenci 12.3.1 contains a CSV formula injection vulnerability in the contact form message field that allows attackers to inject malicious formulas during export. Attackers can submit crafted payloads like '=10+20+cmd|' /C calc'!A0' in the message field to trigger arbitrary command execution when the CSV is opened in spreadsheet applications.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS