CVE-2023-54348

Nome do Software Vulnerável e Versões Afetadas ERPGo SaaS versão 3.9

Descrição Existe um problema onde atacantes autenticados podem executar código arbitrário injetando cargas de fórmulas em campos de nome de fornecedor. Isso ocorre quando fórmulas maliciosas são inseridas no formulário de criação de fornecedor e, posteriormente, executadas quando o arquivo CSV exportado é aberto em aplicativos de planilha.

Recomendações Como medida paliativa temporária, restrinja o uso do formulário de criação de fornecedor ou sanitize as entradas no campo de nome do fornecedor para evitar o uso de caracteres de fórmula até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.