← volver
CVE-2023-7101

Arbitrary Code Execution (ACE) Vulnerability

CVSS 7.8 HIGHEPSS 16.7%● KEVCWE-95
En resumen

Un programa que lee archivos Excel tiene una falla que ejecuta código no verificado del archivo. Un atacante puede crear un archivo Excel malicioso que ejecute comandos cuando se abre.

Detalle técnico

CVE-2023-7101 afecta Spreadsheet::ParseExcel v0.65 y explota eval() inseguro de cadenas de formato numérico durante el análisis de archivos Excel (CWE-95). El vector es basado en archivo; requiere que un usuario abra un archivo .xls malicioso. El impacto es ejecución arbitraria de código con los privilegios del proceso.

Resumen generado y traducido por IA a partir de la descripción oficial.
Spreadsheet::ParseExcel version 0.65 is a Perl module used for parsing Excel files. Spreadsheet::ParseExcel is vulnerable to an arbitrary code execution (ACE) vulnerability due to passing unvalidated input from a file into a string-type “eval”. Specifically, the issue stems from the evaluation of Number format strings (not to be confused with printf-style format strings) within the Excel parsing logic.
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Productos afectados
Douglas Wilson · Spreadsheet::ParseExcel

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://github.com/jmcnamara/spreadsheet-parseexcel/blob/c7298592e102a375d43150cd002feed806557c15/lib/Spreadsheet/ParseExcel/Utility.pm#L171https://github.com/mandiant/Vulnerability-Disclosures/blob/master/2023/MNDT-2023-0019.mdhttps://https://github.com/haile01/perl_spreadsheet_excel_rce_pochttps://https://github.com/jmcnamara/spreadsheet-parseexcel/commit/bd3159277e745468e2c553417b35d5d7dc7405bchttps://https://metacpan.org/dist/Spreadsheet-ParseExcelhttps://https://www.cve.org/CVERecord?id=CVE-2023-7101https://lists.debian.org/debian-lts-announce/2023/12/msg00025.htmlhttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/IFEHKULQRVXHIV7XXK2RGD4VQN6Y4CV5/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/M2FIWDHRYTAAQLGM6AFOZVM7AFZ4H2ZR/https://security.metacpan.org/2024/02/10/vulnerable-spreadsheet-parsing-modules.htmlhttps://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2023-7101http://www.openwall.com/lists/oss-security/2023/12/29/4