PT-2022-13940 · Microsoft · Office Excel
Websafe2021
·
Publicado
2022-07-25
·
Atualizado
2022-07-29
·
CVE-2022-1539
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do plugin “Exports and Reports” para WordPress anteriores à 0.9.2
Descrição
O problema decorre da falha do plugin em sanitizar e validar os dados ao gerar exportações em CSV. Isso pode levar a uma injeção de CSV, potencialmente utilizando a função DDE do Microsoft Excel, ou resultar em vazamento de dados por meio de hiperlinks injetados de forma maliciosa.
Recomendações
Para versões do plugin Exports and Reports do WordPress anteriores à 0.9.2, atualize para a versão 0.9.2 ou posterior para resolver o problema. Como solução temporária, considere desativar o recurso de exportação CSV até que a atualização seja aplicada. Restrinja o acesso à funcionalidade de exportação para minimizar o risco de exploração. Evite usar o plugin para exportações de dados confidenciais até que o problema seja resolvido.
Exploit
Correção
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Office Excel