CVE-2023-33410
CVE-2023-33410
Em resumo
O Minical 1.0.0 e versões anteriores permitem que atacantes injetem código malicioso no campo Nome do Cliente, que é incluído em arquivos CSV. Quando aberto em um aplicativo de planilha, isso pode executar comandos no computador da vítima.
Detalhe técnico
Uma vulnerabilidade de injeção CSV no campo Nome do Cliente do módulo Contábil não valida adequadamente a entrada, permitindo que um atacante crie cargas de trabalho com fórmulas que executam quando o CSV é aberto em software de planilha. Requer que a vítima abra o arquivo CSV gerado, mas uma vez aberto, permite execução arbitrária de código.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Minical 1.0.0 and earlier contains a CSV injection vulnerability which allows an attacker to execute remote code. The vulnerability exists due to insufficient input validation on the Customer Name field in the Accounting module that is used to construct a CSV file.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
n/a · n/aQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →