CVE-2021-24441
Sign-up Sheets < 1.0.14 - Authenticated CSV Injection
En resumen
El plugin Sign-up Sheets de WordPress no limpiaba correctamente los títulos de hojas antes de exportar a CSV, permitiendo que atacantes inyectaran fórmulas maliciosas en archivos descargados.
Detalle técnico
Un atacante autenticado puede inyectar código de fórmula CSV a través del parámetro de título de la hoja, que se incrusta directamente en archivos CSV exportados sin sanitización. Cuando una víctima abre el CSV malicioso en una aplicación de hojas de cálculo, la fórmula se ejecuta con los privilegios de ese usuario.
Resumen generado y traducido por IA a partir de la descripción oficial.
The Sign-up Sheets WordPress plugin before 1.0.14 does not not sanitise or validate the Sheet title when generating the CSV to export, which could lead to a CSV injection issue
Productos afectados
Unknown · Sign-up Sheets¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →