CVE-2022-22121
NocoDB - CSV Injection in User Management
Em resumo
O NocoDB permite que atacantes com baixo privilégio injetem código malicioso em arquivos CSV através de dados de tabelas. Quando um administrador exporta e abre o arquivo em uma aplicação de planilha, o código é executado automaticamente.
Detalhe técnico
Vulnerabilidade de injeção CSV no NocoDB 0.81.0–0.83.8 permite que usuários com baixo privilégio injetem payloads de fórmula em linhas de tabelas. Quando administradores exportam dados de gerenciamento de usuários como CSV e abrem em aplicações de planilha, as fórmulas são executadas com privilégios de admin, possibilitando execução arbitrária de código ou exfiltração de dados.
Resumo gerado e traduzido por IA a partir da descrição oficial.
In NocoDB, versions 0.81.0 through 0.83.8 are affected by CSV Injection vulnerability (Formula Injection). A low privileged attacker can create a new table to inject payloads in the table rows. When an administrator accesses the User Management endpoint and exports the data as a CSV file and opens it, the payload gets executed.
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
Produtos afetados
nocodb · nocodbQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →