KWHotel w wersji 0.47 zawiera podatność typu CSV Formula Injection w module dodawania faktur. Atakujący może wstrzyknąć złośliwe formuły do eksportowanych plików CSV, co stanowi poważne zagrożenie dla użytkowników otwierających takie pliki w arkuszach kalkulacyjnych.
▸ Pokaż oryginał (EN)
KWHotel 0.47 is vulnerable to CSV Formula Injection in the invoice adding function.
Podatność polega na braku odpowiedniej walidacji i sanityzacji danych wpisywanych przez użytkownika w funkcji dodawania faktur. Złośliwy użytkownik może wprowadzić dane zawierające formuły arkusza kalkulacyjnego (np. zaczynające się od znaków =, +, -, @), które zostaną zapisane bez modyfikacji w eksportowanym pliku CSV. Gdy ofiara otworzy taki plik w programie takim jak Microsoft Excel lub LibreOffice Calc, formuły mogą zostać automatycznie wykonane.
Wykonanie złośliwych formuł w arkuszu kalkulacyjnym po stronie ofiary może prowadzić do wycieku danych, wykonania poleceń systemowych lub pobrania i uruchomienia złośliwego oprogramowania na komputerze użytkownika otwierającego zainfekowany plik CSV.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się skonfigurowanie arkuszy kalkulacyjnych tak, aby blokowały automatyczne wykonywanie formuł przy otwieraniu plików CSV z zewnętrznych źródeł oraz ograniczenie uprawnień użytkowników mogących wprowadzać dane do systemu fakturowania.
KWHotel w wersji 0.47
Szczegółowy opis podatności wraz z proof-of-concept dostępny jest w referencji na platformie GitHub Gist (autor: 6en6ar).
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HKwhotel
APPKwhotel0.47