CVE-2021-24441
Sign-up Sheets < 1.0.14 - Authenticated CSV Injection
Em resumo
O plugin Sign-up Sheets do WordPress não limpava corretamente títulos de planilhas antes de exportar para CSV, permitindo que atacantes injetassem fórmulas maliciosas em arquivos baixados.
Detalhe técnico
Um atacante autenticado pode injetar código de fórmula CSV através do parâmetro de título da planilha, que é embutido diretamente em arquivos CSV exportados sem sanitização. Quando uma vítima abre o CSV malicioso em uma aplicação de planilha, a fórmula é executada com os privilégios daquele usuário.
Resumo gerado e traduzido por IA a partir da descrição oficial.
The Sign-up Sheets WordPress plugin before 1.0.14 does not not sanitise or validate the Sheet title when generating the CSV to export, which could lead to a CSV injection issue
Produtos afetados
Unknown · Sign-up SheetsQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →