← voltar
CVE-2023-7101

Arbitrary Code Execution (ACE) Vulnerability

CVSS 7.8 HIGHEPSS 16.7%● KEVCWE-95
Em resumo

Um programa que lê arquivos Excel tem uma falha que executa código não verificado vindo do arquivo. Um atacante pode criar um arquivo Excel malicioso que executa comandos quando aberto.

Detalhe técnico

CVE-2023-7101 afeta Spreadsheet::ParseExcel v0.65 e explora eval() inseguro de strings de formato numérico durante análise de arquivos Excel (CWE-95). O vetor é baseado em arquivo; requer que um usuário abra um arquivo .xls malicioso. O impacto é execução arbitrária de código com os privilégios do processo.

Resumo gerado e traduzido por IA a partir da descrição oficial.
Spreadsheet::ParseExcel version 0.65 is a Perl module used for parsing Excel files. Spreadsheet::ParseExcel is vulnerable to an arbitrary code execution (ACE) vulnerability due to passing unvalidated input from a file into a string-type “eval”. Specifically, the issue stems from the evaluation of Number format strings (not to be confused with printf-style format strings) within the Excel parsing logic.
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Produtos afetados
Douglas Wilson · Spreadsheet::ParseExcel

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://github.com/jmcnamara/spreadsheet-parseexcel/blob/c7298592e102a375d43150cd002feed806557c15/lib/Spreadsheet/ParseExcel/Utility.pm#L171https://github.com/mandiant/Vulnerability-Disclosures/blob/master/2023/MNDT-2023-0019.mdhttps://https://github.com/haile01/perl_spreadsheet_excel_rce_pochttps://https://github.com/jmcnamara/spreadsheet-parseexcel/commit/bd3159277e745468e2c553417b35d5d7dc7405bchttps://https://metacpan.org/dist/Spreadsheet-ParseExcelhttps://https://www.cve.org/CVERecord?id=CVE-2023-7101https://lists.debian.org/debian-lts-announce/2023/12/msg00025.htmlhttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/IFEHKULQRVXHIV7XXK2RGD4VQN6Y4CV5/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/M2FIWDHRYTAAQLGM6AFOZVM7AFZ4H2ZR/https://security.metacpan.org/2024/02/10/vulnerable-spreadsheet-parsing-modules.htmlhttps://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2023-7101http://www.openwall.com/lists/oss-security/2023/12/29/4