CVE-2019-17661
CVE-2019-17661
En resumen
Un atacante puede insertar fórmulas maliciosas en los nombres de usuario del plugin Admin Columns, que se exportan en archivos CSV. Cuando una víctima abre el CSV en Excel u herramientas similares, la fórmula se ejecuta y puede comprometer su computadora.
Detalle técnico
Vulnerabilidad de inyección CSV en Admin Columns 3.4.6 permite que usuarios autenticados inyecten código de fórmula (por ejemplo, =cmd|'/c calc'!A0) en campos de nombre de usuario. Cuando los administradores exportan datos de usuario como CSV y lo abren en aplicaciones de hojas de cálculo, la fórmula se ejecuta con los privilegios del usuario, potencialmente habilitando ejecución remota de código en el sistema de la víctima.
Resumen generado y traducido por IA a partir de la descripción oficial.
A CSV injection in the codepress-admin-columns (aka Admin Columns) plugin 3.4.6 for WordPress allows malicious users to gain remote control of other computers. By choosing formula code as his first or last name, an attacker can create a user with a name that contains malicious code. Other users might download this data as a CSV file and corrupt their PC by opening it in a tool such as Microsoft Excel. The attacker could gain remote access to the user's PC.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Productos afectados
n/a · n/a¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →