CVE-2025-62417

Nome do Software Vulnerável e Versões Afetadas Versões do Bagisto anteriores à 2.3.8

Descrição A aplicação não neutraliza ou escapa caracteres de fórmula iniciais ao gerar arquivos CSV ou aceitar campos de importação CSV. Isso permite que um atacante forneça um campo CSV, como um nome de produto, que contém uma fórmula. Quando um usuário abre o arquivo CSV em um software de planilha, a planilha interpretará e avaliará o conteúdo, potencialmente levando à exfiltração de dados e execução remota de comandos por meio de exploits antigos do Excel ou macros. O problema ocorre quando dados de produto que começam com um caractere de fórmula de planilha (por exemplo, =, +, -, ou @) são aceitos e posteriormente exportados ou salvos em um arquivo CSV. O endpoint de API afetado é '/admin/catalog/products/edit/1'. O parâmetro vulnerável é o campo de nome do produto.

Recomendações Versões anteriores à 2.3.8 devem ser atualizadas para a versão 2.3.8 ou superior.