CVE-2023-53929

Nome do Software Vulnerável e Versões Afetadas phpMyFAQ versão 3.1.12

Descrição O software contém uma falha de injeção de CSV que permite que usuários autenticados injetem fórmulas maliciosas em seus nomes de perfil. Um atacante pode modificar o nome de seu perfil de usuário com um payload como 'calc|a!z|' para acionar a execução de código quando um administrador exporta os dados do usuário como um arquivo CSV.

Recomendações Atualize para uma versão mais recente que contenha uma correção para esta vulnerabilidade. Como medida temporária, restrinja os caracteres permitidos nos nomes de perfil de usuário para prevenir a injeção de fórmulas maliciosas.