PT-2021-15542 · Unknown · Html-To-Csv
0Xbughunter
·
Publicado
2021-11-26
·
Atualizado
2021-12-20
·
CVE-2021-23654
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Todas as versões do html-to-csv
Descrição
O problema ocorre quando uma fórmula é incorporada em uma página HTML e é aceita sem validação, permitindo que seja inserida em um arquivo CSV durante a conversão. Isso permite que um agente mal-intencionado incorpore ou gere links maliciosos ou execute comandos por meio de arquivos CSV.
Recomendações
Para todas as versões, considere desativar a conversão de páginas HTML com fórmulas incorporadas em arquivos CSV até que um mecanismo de validação adequado seja implementado para impedir links maliciosos ou a execução de comandos. Restrinja o acesso ao recurso de geração de arquivos CSV para minimizar o risco de exploração. Evite usar o pacote html-to-csv para converter páginas HTML com fórmulas incorporadas até que o problema seja resolvido.
Exploit
Correção
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Html-To-Csv