CVE-2022-22121
NocoDB - CSV Injection in User Management
En resumen
NocoDB permite que atacantes inyecten código malicioso en archivos CSV a través de datos de tablas. Cuando un administrador exporta y abre el archivo en una aplicación de hojas de cálculo, el código se ejecuta automáticamente.
Detalle técnico
Vulnerabilidad de inyección CSV en NocoDB 0.81.0–0.83.8 permite que usuarios con bajo privilegio inyecten payloads de fórmula en filas de tablas. Cuando administradores exportan datos de gestión de usuarios como CSV y los abren en aplicaciones de hojas de cálculo, las fórmulas se ejecutan con privilegios de administrador, posibilitando ejecución arbitraria de código o exfiltración de datos.
Resumen generado y traducido por IA a partir de la descripción oficial.
In NocoDB, versions 0.81.0 through 0.83.8 are affected by CSV Injection vulnerability (Formula Injection). A low privileged attacker can create a new table to inject payloads in the table rows. When an administrator accesses the User Management endpoint and exports the data as a CSV file and opens it, the payload gets executed.
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
Productos afectados
nocodb · nocodb¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →