CVE-2022-2240
Request a Quote <= 2.3.7 - CSV Injection
En resumen
El plugin Request a Quote de WordPress hasta la versión 2.3.7 permite que cualquiera cargue un archivo CSV malicioso sin validación. Cuando un administrador descarga y abre el archivo, puede ejecutar comandos dañinos en la computadora del administrador.
Detalle técnico
El plugin no valida los archivos CSV cargados, permitiendo que atacantes no autenticados inyecten cargas útiles de inyección de fórmulas (CWE-1236) a través de anexos de cotizaciones. Cuando un administrador descarga y abre el CSV malicioso en software de hojas de cálculo, las fórmulas inyectadas se ejecutan con privilegios de administrador, lo que podría llevar a la ejecución de código o exfiltración de datos.
Resumen generado y traducido por IA a partir de la descripción oficial.
The Request a Quote WordPress plugin through 2.3.7 does not validate uploaded CSV files, allowing unauthenticated users to attach a malicious CSV file to a quote, which could lead to a CSV injection once an admin download and open it
Productos afectados
Unknown · Request a Quote¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →