PT-2025-51943 · Unknown · Projectsend
Mirabbas Ağalarov
·
Publicado
2025-12-17
·
Atualizado
2025-12-26
·
CVE-2023-53905
CVSS v3.1
8.0
Alta
| Vetor | AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
ProjectSend versão r1605
Descrição
A versão r1605 do ProjectSend contém uma falha de injeção de CSV. Usuários autenticados podem injetar fórmulas maliciosas nos nomes de perfil de usuário. Um atacante pode usar um payload como
=calc|a!z| dentro do campo de nome. Quando os administradores exportam logs de ações como arquivos CSV, isso pode levar à execução de código.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Projectsend