Katalog CVE

CVE-2021-47901

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Dirsearch w wersji 0.4.1 zawiera podatność na wstrzykiwanie CSV, gdy używana jest flaga --csv-report. Umożliwia to atakującym wstrzykiwanie formuł przez przekierowane punkty końcowe.

Ocena ryzyka

Atakujący mogą stworzyć złośliwe przekierowania serwera z ścieżkami oddzielonymi przecinkami, zawierającymi formuły Excela, co może prowadzić do manipulacji generowanym raportem CSV. To stwarza ryzyko wycieku danych lub nieautoryzowanych działań na danych.

Rekomendacja

Zaleca się unikanie używania flagi --csv-report w wersji 0.4.1 oraz aktualizację do najnowszej wersji Dirsearch, aby zniwelować tę podatność.

Oryginalny opis (angielski, źródło NVD)

Dirsearch 0.4.1 contains a CSV injection vulnerability when using the --csv-report flag that allows attackers to inject formulas through redirected endpoints. Attackers can craft malicious server redirects with comma-separated paths containing Excel formulas to manipulate the generated CSV report.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS