PT-2022-18114 · Dell · Powerstore Sw
Publicado
2022-06-02
·
Atualizado
2022-06-13
·
CVE-2022-26867
CVSS v3.1
8.0
Alta
| Vetor | AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
PowerStore SW versão 2.1.1.0
Descrição
A vulnerabilidade permite que um usuário mal-intencionado e autenticado injete cargas maliciosas em arquivos CSV ou XLSX exportados do PowerStore SW. Essas cargas podem ser interpretadas como fórmulas pelo aplicativo de planilha correspondente, podendo levar a ações maliciosas. Os dados são aceitos tal como estão, sem qualquer validação ou sanitização.
Recomendações
Para o PowerStore SW versão 2.1.1.0, considere validar e sanitizar os dados antes de exportá-los para arquivos CSV ou XLSX, a fim de evitar a injeção de cargas maliciosas. Como solução alternativa temporária, restrinja o uso do recurso de exportação apenas a usuários confiáveis e certifique-se de que os aplicativos de planilha usados para abrir esses arquivos estejam configurados para alertar os usuários sobre possíveis injeções de fórmulas.
Correção
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Powerstore Sw