KWHotel w wersji 0.47 jest podatny na atak CSV Formula Injection w funkcji dodawania gościa. Podatność umożliwia wstrzyknięcie złośliwych formuł do eksportowanych plików CSV, które mogą zostać wykonane przez aplikacje arkusza kalkulacyjnego (np. Microsoft Excel, LibreOffice Calc) po otwarciu pliku przez użytkownika.
▸ Pokaż oryginał (EN)
KWHotel 0.47 is vulnerable to CSV Formula Injection in the add guest function.
Atakujący wprowadza specjalnie spreparowane dane w polu formularza dodawania gościa, zawierające znaki inicjujące formułę (np. =, +, -, @). Dane te są zapisywane bez odpowiedniej sanityzacji i trafiają do pliku CSV generowanego przez aplikację. Gdy uprawniony użytkownik (np. pracownik recepcji lub administrator) eksportuje dane i otwiera plik w programie arkusza kalkulacyjnego, osadzona formuła zostaje automatycznie wykonana.
Atakujący może doprowadzić do wykonania złośliwego kodu na stacji roboczej użytkownika otwierającego zainfekowany plik CSV, a także do kradzieży danych lub nieautoryzowanego wykonania poleceń systemowych w kontekście uprawnień ofiary.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Jako obejście należy unikać otwierania eksportowanych plików CSV z niezaufanymi danymi gości w aplikacjach arkusza kalkulacyjnego oraz wdrożyć walidację i sanityzację danych wejściowych po stronie aplikacji.
KWHotel w wersji 0.47
Szczegółowy proof-of-concept dostępny jest pod adresem referencyjnym (gist.github.com/6en6ar). Podatność odkryta przez badacza o pseudonimie '6en6ar' na podstawie metadanych URL referencji.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HKwhotel
APPKwhotel0.47