CVE-2020-26507

Aplicativo web Marmind versão 4.1.141.0

Uma vulnerabilidade de injeção de CSV no aplicativo web Marmind permite que usuários mal-intencionados obtenham controle remoto sobre outros computadores. Ao inserir código de fórmula na funcionalidade “Notas”, um invasor pode injetar uma carga maliciosa no campo “Descrição” na opção “Inserir Tarefa”. Outros usuários podem baixar esses dados, por exemplo, um arquivo CSV, e executar os comandos maliciosos em seus computadores ao abrir o arquivo usando um software como o Microsoft Excel. O invasor poderia obter acesso remoto ao PC do usuário.

Para a versão 4.1.141.0 do aplicativo web Marmind, considere desativar a funcionalidade “Notas” na tela principal e restringir o acesso à opção “Inserir Tarefa” até que uma correção esteja disponível. Evite usar o campo “Descrição” na opção “Inserir Tarefa” para minimizar o risco de exploração. Como solução temporária, evite abrir arquivos CSV baixados do aplicativo usando softwares como o Microsoft Excel, para impedir a possível execução de comandos maliciosos. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.