CVE-2026-47693
ŚrednieCVSS 6.9Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 14 — wyżej niż 14% wszystkich znanych CVE
Streszczenie
Poweradmin przed wersjami 4.2.4 i 4.3.3 jest podatny na wstrzykiwanie formuł CSV w funkcji eksportu logów. Nazwa użytkownika, która może być kontrolowana przez atakującego, jest zapisywana do plików CSV bez oczyszczania znaków wyzwalających formuły (=, +, -, @).
Ocena ryzyka
Gdy administrator otworzy wyeksportowany plik CSV w arkuszu kalkulacyjnym (Excel, LibreOffice Calc, Google Sheets), formuła zawarta w nazwie użytkownika może zostać wykonana, co umożliwia ataki phishingowe lub kradzież danych.
Rekomendacja
Należy niezwłocznie zaktualizować Poweradmin do wersji 4.2.4 lub 4.3.3, które usuwają tę podatność.
Oryginalny opis (angielski, źródło NVD)
Poweradmin is a web-based DNS administration tool for PowerDNS server. Versions prior to 4.2.4 and 4.3.3 are vulnerable to CSV Injection (Formula Injection) in its log export functionality. User-controlled data — specifically the username field — is written to exported CSV files without sanitizing formula trigger characters (=, +, -, @). When an administrator exports activity logs and opens the resulting CSV in a spreadsheet application (Microsoft Excel, LibreOffice Calc, Google Sheets), any formula stored in a username is executed by the application. This can be used for phishing attacks against administrators or data exfiltration. Versions 4.2.4 and 4.3.3 patch the issue.

