Ling101W

**Nome do Software Vulnerável e Versões Afetadas** Versões do HUSTOF anteriores a 26.01.24 **Descrição** O HUSTOF é um sistema de online judge baseado em PHP, C++, MySQL e Linux. Existe uma falha de path traversal nos módulos `problem import qduoj.php` e `problem import hoj.php` ao manipular a extração de arquivos ZIP. Isso permite que atacantes gravem arquivos em locais arbitrários dentro da raiz web criando arquivos ZIP maliciosos contendo sequências de path traversal, como `../../shell.php`. A exploração bem-sucedida resulta em Execução Remota de Código (RCE). **Recomendações** Versões anteriores a 26.01.24 devem ser atualizadas para a versão 26.01.24 ou superior.

**Name of the Vulnerable Software and Affected Versions** hustoj (affected versions not specified) **Description** hustoj is an open source online judge system built on PHP/C++/MySQL/Linux. The application is susceptible to CSV Injection (Formula Injection) through the contest rank export functionality, specifically in the `contestrank.xls.php` and `admin/ranklist export.php` files. The system does not properly sanitize user-provided input, particularly the `Nickname` field, before including it in exported .xls files. An attacker can exploit this by setting their nickname to an Excel formula. When an administrator opens the exported rank list in Microsoft Excel, the malicious formula will execute, potentially leading to arbitrary command execution (RCE) on the administrator’s machine or data exfiltration. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.