CVE-2020-6836

Versões do hot-formula-parser anteriores à 3.0.1

A vulnerabilidade permite a injeção de código arbitrário devido à falha na sanitização de valores passados para a função parse, que são então concatenados em uma chamada eval. Se um valor de fórmula for obtido de uma entrada controlada pelo usuário, os invasores poderão executar comandos arbitrários no servidor. Por exemplo, a análise de uma fórmula específica pode criar um arquivo no diretório atual.

Para versões anteriores à 3.0.1, atualize para a versão 3.0.1 ou posterior. Como solução temporária, considere restringir o uso da função parse para impedir a exploração até que um patch seja aplicado. Evite usar o pacote hot-formula-parser com entradas controladas pelo usuário até que o problema seja resolvido.