PT-2026-5154 · Tendenci · Tendenci
Mufaddal Masalawala
·
Publicado
2026-01-28
·
Atualizado
2026-02-02
·
CVE-2020-36962
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Tendenci versão 12.3.1
Descrição
O software contém uma vulnerabilidade de injeção de fórmula CSV no campo de mensagem do formulário de contato. Isso permite que atacantes injetem fórmulas maliciosas ao exportar um arquivo CSV. Ao enviar cargas elaboradas, como '=10+20+cmd|' /C calc'!A0', no campo de mensagem, atacantes podem acionar a execução de comandos arbitrários ao abrir o arquivo CSV em aplicativos de planilha. O componente vulnerável é o campo de mensagem do formulário de contato.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Tendenci