CVE-2021-47901
KrytyczneStreszczenie
Dirsearch w wersji 0.4.1 zawiera podatność na wstrzykiwanie CSV, gdy używana jest flaga --csv-report. Umożliwia to atakującym wstrzykiwanie formuł przez przekierowane punkty końcowe.
Ocena ryzyka
Atakujący mogą stworzyć złośliwe przekierowania serwera z ścieżkami oddzielonymi przecinkami, zawierającymi formuły Excela, co może prowadzić do manipulacji generowanym raportem CSV. To stwarza ryzyko wycieku danych lub nieautoryzowanych działań na danych.
Rekomendacja
Zaleca się unikanie używania flagi --csv-report w wersji 0.4.1 oraz aktualizację do najnowszej wersji Dirsearch, aby zniwelować tę podatność.
Oryginalny opis (angielski, źródło NVD)
Dirsearch 0.4.1 contains a CSV injection vulnerability when using the --csv-report flag that allows attackers to inject formulas through redirected endpoints. Attackers can craft malicious server redirects with comma-separated paths containing Excel formulas to manipulate the generated CSV report.

