PT-2022-24816 · Some Natalie · Ghas-To-Csv
Aegilops
+1
·
Publicado
2022-09-16
·
Atualizado
2022-09-21
·
CVE-2022-39217
CVSS v3.1
5.8
Média
| Vetor | AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:L/A:L |
Nome do software vulnerável e versões afetadas
some-natalie/ghas-to-csv versões anteriores à v1
Descrição
O problema decorre do fato de a ação do GitHub criar um arquivo CSV sem sanitizar a saída das APIs. Se um alerta for descartado ou se qualquer outro campo personalizado contiver código executável ou fórmulas, estes poderão ser executados quando um usuário abrir esse arquivo CSV em um programa de planilhas.
Recomendações
Para versões anteriores à v1, atualize para a versão v1 ou posterior para resolver o problema. Como solução alternativa temporária, considere evitar o uso de campos personalizados que possam conter código executável ou fórmulas na API do GitHub Advanced Security até que a atualização seja aplicada.
Exploit
Correção
Special Elements Injection
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Ghas-To-Csv