CVE-2020-5299

Versões do OctoberCMS de 1.0.319 a 1.0.465

A vulnerabilidade permite que usuários com a capacidade de modificar dados que poderiam ser exportados como um arquivo CSV a partir do ImportExportController introduzam potencialmente uma injeção de CSV, fazendo com que o arquivo CSV gerado seja malicioso. Isso requer que os invasores encontrem uma vulnerabilidade no software de planilhas da vítima, controlem os dados a serem exportados e convençam a vítima a exportar e executar os dados no software vulnerável, contornando as verificações de integridade.

Para as versões do OctoberCMS 1.0.319 a 1.0.465, atualize para a Build 466 (v1.0.466) para resolver o problema.

Como solução alternativa temporária, aplique os patches de https://github.com/octobercms/library/commit/c84bf03f506052c848f2fddc05f24be631427a1a e https://github.com/ octobercms/october/commit/802d8c8e09a2b342649393edb6d3ceb958851484 à sua instalação manualmente, caso não seja possível atualizar para a Build 466.