CRITICAL🇬🇧 English

CVE-2023-46401

CSV Formula Injection w KWHotel — funkcja dodawania faktur

CVSS 9.8v3.1pub. 2025-01-23upd. 2025-02-04

KWHotel w wersji 0.47 zawiera podatność typu CSV Formula Injection w module dodawania faktur. Atakujący może wstrzyknąć złośliwe formuły do eksportowanych plików CSV, co stanowi poważne zagrożenie dla użytkowników otwierających takie pliki w arkuszach kalkulacyjnych.

Pokaż oryginał (EN)

KWHotel 0.47 is vulnerable to CSV Formula Injection in the invoice adding function.

🤖 Analiza AI
Jak działa

Podatność polega na braku odpowiedniej walidacji i sanityzacji danych wpisywanych przez użytkownika w funkcji dodawania faktur. Złośliwy użytkownik może wprowadzić dane zawierające formuły arkusza kalkulacyjnego (np. zaczynające się od znaków =, +, -, @), które zostaną zapisane bez modyfikacji w eksportowanym pliku CSV. Gdy ofiara otworzy taki plik w programie takim jak Microsoft Excel lub LibreOffice Calc, formuły mogą zostać automatycznie wykonane.

Skutki

Wykonanie złośliwych formuł w arkuszu kalkulacyjnym po stronie ofiary może prowadzić do wycieku danych, wykonania poleceń systemowych lub pobrania i uruchomienia złośliwego oprogramowania na komputerze użytkownika otwierającego zainfekowany plik CSV.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się skonfigurowanie arkuszy kalkulacyjnych tak, aby blokowały automatyczne wykonywanie formuł przy otwieraniu plików CSV z zewnętrznych źródeł oraz ograniczenie uprawnień użytkowników mogących wprowadzać dane do systemu fakturowania.

Kogo dotyczy

KWHotel w wersji 0.47

Uwagi

Szczegółowy opis podatności wraz z proof-of-concept dostępny jest w referencji na platformie GitHub Gist (autor: 6en6ar).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Kwhotel

    APP
    Kwhotel
    0.47
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2023-46400CRITICAL9.8PL ✓ten sam produkt

CSV Formula Injection w KWHotel 0.47 — funkcja dodawania gości