CVE-2021-38180
CVE-2021-38180
En resumen
SAP Business One versión 10.0 permite que atacantes inyecten fórmulas maliciosas en archivos Excel durante la exportación de datos. Si el usuario abre el archivo exportado y habilita macros en Excel, el código del atacante podría ejecutarse en su computadora.
Detalle técnico
Vulnerabilidad de inyección CSV en la función de exportación de datos de SAP Business One 10.0 debido a una sanitización insuficiente de entrada. El vector de ataque requiere interacción del usuario (abrir archivo exportado con ejecución de macros habilitada); el impacto incluye ejecución de comandos arbitrarios con privilegios del usuario en el sistema de la víctima.
Resumen generado y traducido por IA a partir de la descripción oficial.
SAP Business One - version 10.0, allows an attacker to inject formulas when exporting data to Excel (CSV injection) due to improper sanitation during the data export. An attacker could thereby execute arbitrary commands on the victim's computer but only if the victim allows to execute macros while opening the file and the security settings of Excel allow for command execution.
Productos afectados
SAP SE · SAP Business One¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →