CVE-2020-10780

Versões 4.7 a 5 do Red Hat CloudForms

O problema está relacionado a uma falha de injeção de CSV. Uma carga maliciosa pode permanecer inativa até que a vítima a exporte como um arquivo CSV e a abra no Excel. Assim que o arquivo é aberto, a fórmula é executada, podendo desencadear vários eventos. Embora essa falha não afete diretamente o aplicativo, os invasores poderiam explorar parâmetros com validação insuficiente para desencadear diversas possibilidades de ataque. A vulnerabilidade existe devido à validação insuficiente de entradas, o que pode permitir que um invasor remoto comprometa a confidencialidade e a integridade de informações protegidas usando um arquivo CSV especialmente criado.

Para as versões 4.7 a 5 do Red Hat CloudForms, considere desativar o recurso de exportação para CSV até que um patch esteja disponível para evitar uma possível exploração. Restrinja o acesso à funcionalidade vulnerável para minimizar o risco de exploração. Evite usar o recurso afetado no aplicativo até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.