CVE-2021-41270

Versões do Symfony 4.1.0 a 4.4.34

Versões do Symfony 5.0.0 a 5.3.11

A injeção CSV, também conhecida como injeção de fórmula, ocorre quando sites incorporam entradas não confiáveis dentro de arquivos CSV. Quando um programa de planilhas abre um CSV, qualquer célula que comece com = é interpretada pelo software como uma fórmula e pode ser explorada por um invasor. No Symfony, a opção csv escape formulas no CsvEncoder foi adicionada para prefixar todas as células que começam com =, +, - ou @ com uma tabulação t. No entanto, a OWASP adicionou mais dois caracteres a essa lista: Tabulação (0x09) e Retorno de carro (0x0D), tornando o caractere de prefixo anterior parte dos caracteres vulneráveis. A OWASP sugere o uso da aspa simples ' para prefixar o valor.

Para as versões 4.1.0 a 4.4.34 do Symfony, atualize para a versão 4.4.35 ou posterior.

Para as versões 5.0.0 a 5.3.11 do Symfony, atualize para a versão 5.3.12 ou posterior.

Como solução temporária, considere usar a aspa simples ' como prefixo nas fórmulas e adicione o prefixo às células que começam com t, r, bem como =, +, - e @.