CVE-2020-36941: CSV-Injection-Lücke in Knockpy durch GuelfoWeb
⚠️ CVE-Referenzen:
CVE-2020-36941
Zusammenfassung
Eine Sicherheitslücke in der Version 4.1.1 des Knockpy-Tools ermöglicht Angreifern das Einschleusen schädlicher Formeln in CSV-Berichten. Durch Manipulation der Server-Antwort-Header können Schadsoftware-Codes in die Tabellen eingebettet werden, die beim Öffnen der Datei ausgeführt werden. Dies stellt ein erhebliches Risiko für Nutzer dar, die die CSV-Dateien ahnungslos öffnen.
Guelfoweb - Knock - MEDIUM - CVE-2020-36941.
Knockpy 4.1.1 possesses a vulnerability that allows attackers to execute malicious formulas through crafted server headers in CSV reports. By manipulating the server response headers, an attacker can inject harmful formulas that trigger automatically when the CSV file is opened in a spreadsheet application, posing a significant risk to users who may unknowingly execute the embedded code.
BADGES: 👾 EXPLOITED | 🟡 PoC | SecurityVulnerability.io
Quelle: securityvulnerability.io