CVE-2023-33410
CVE-2023-33410
En resumen
Minical 1.0.0 y versiones anteriores permiten a atacantes inyectar código malicioso a través del campo Nombre del Cliente, que se incluye en archivos CSV. Cuando se abre en una aplicación de hojas de cálculo, puede ejecutar comandos en la computadora de la víctima.
Detalle técnico
Una vulnerabilidad de inyección CSV en el campo Nombre del Cliente del módulo Contable carece de validación de entrada, permitiendo que un atacante construya cargas con fórmulas que se ejecutan cuando el CSV se abre en software de hojas de cálculo. Requiere que la víctima abra el archivo CSV generado, pero una vez abierto, es posible la ejecución arbitraria de código en el sistema.
Resumen generado y traducido por IA a partir de la descripción oficial.
Minical 1.0.0 and earlier contains a CSV injection vulnerability which allows an attacker to execute remote code. The vulnerability exists due to insufficient input validation on the Customer Name field in the Accounting module that is used to construct a CSV file.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Productos afectados
n/a · n/a¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →