CVE-2019-17661
CVE-2019-17661
Em resumo
O plugin Admin Columns tem um problema de segurança onde um usuário malicioso pode adicionar fórmulas perigosas ao seu nome. Se outro usuário baixar esses dados em CSV e abrir no Excel, a fórmula executa e pode prejudicar o computador.
Detalhe técnico
Vulnerabilidade de injeção CSV no Admin Columns 3.4.6 permite que usuários autenticados injetem código de fórmula (como =cmd|'/c calc'!A0) em campos de nome de usuário. Quando administradores exportam os dados em CSV e abrem em aplicações de planilha, a fórmula é executada com os privilégios do usuário, podendo resultar em execução remota de código no sistema da vítima.
Resumo gerado e traduzido por IA a partir da descrição oficial.
A CSV injection in the codepress-admin-columns (aka Admin Columns) plugin 3.4.6 for WordPress allows malicious users to gain remote control of other computers. By choosing formula code as his first or last name, an attacker can create a user with a name that contains malicious code. Other users might download this data as a CSV file and corrupt their PC by opening it in a tool such as Microsoft Excel. The attacker could gain remote access to the user's PC.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
n/a · n/aQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →