Connections Business Directory < 9.7 - Admin+ CSV Injection

O plugin Connections Business Directory para WordPress versão anterior a 9.7 não valida adequadamente alguns campos, permitindo que usuários com privilégios de administrador ou superior injetem código malicioso em arquivos CSV que podem ser executados ao abrir em planilhas.

Vulnerabilidade de injeção CSV no Connections Business Directory < 9.7 onde validação insuficiente em determinados campos de conexão permite que usuários autenticados com privilégios admin ou superior criem cargas que executam fórmulas quando arquivos CSV exportados são processados por aplicações de planilha. O ataque requer privilégios de administrador ou elevados para injetar conteúdo malicioso nos registros de conexão.