CVE-2022-2240
Request a Quote <= 2.3.7 - CSV Injection
Em resumo
O plugin Request a Quote do WordPress até a versão 2.3.7 permite que qualquer pessoa envie um arquivo CSV malicioso sem validação. Quando um administrador baixa e abre o arquivo, ele pode executar comandos prejudiciais no computador do admin.
Detalhe técnico
O plugin não valida arquivos CSV enviados, permitindo que atacantes não autenticados injetem cargas úteis de injeção de fórmulas (CWE-1236) através de anexos de cotações. Quando um administrador baixa e abre o CSV malicioso em software de planilha, as fórmulas injetadas são executadas com privilégios de admin, podendo levar à execução de código ou exfiltração de dados.
Resumo gerado e traduzido por IA a partir da descrição oficial.
The Request a Quote WordPress plugin through 2.3.7 does not validate uploaded CSV files, allowing unauthenticated users to attach a malicious CSV file to a quote, which could lead to a CSV injection once an admin download and open it
Produtos afetados
Unknown · Request a QuoteQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →