CRITICAL🇬🇧 English

CVE-2024-29375

CSV Injection umożliwiający RCE w Addactis IBNRS v.3.10.3.107

CVSS 9.8v3.1pub. 2024-04-04upd. 2026-04-15

Podatność typu CSV Injection w oprogramowaniu Addactis IBNRS w wersji 3.10.3.107 pozwala zdalnemu atakującemu na wykonanie dowolnego kodu. Zagrożenie wynika z braku odpowiedniej walidacji danych wejściowych w plikach projektu formatu .ibnrs.

Pokaż oryginał (EN)

CSV Injection vulnerability in Addactis IBNRS v.3.10.3.107 allows a remote attacker to execute arbitrary code via a crafted .ibnrs file to the Project Description, Identifiers, Custom Triangle Name (inside Input Triangles) and Yield Curve Name parameters.

🤖 Analiza AI
Jak działa

Atakujący tworzy specjalnie spreparowany plik .ibnrs zawierający złośliwe dane w polach takich jak Project Description, Identifiers, Custom Triangle Name (w sekcji Input Triangles) oraz Yield Curve Name. Dane te zawierają formuły lub sekwencje znaków charakterystyczne dla CSV Injection (CWE-1236), które są następnie interpretowane i wykonywane przez aplikację lub powiązany arkusz kalkulacyjny. W efekcie możliwe jest uruchomienie dowolnego kodu na komputerze ofiary otwierającej zainfekowany plik.

Skutki

Skuteczne wykorzystanie podatności pozwala atakującemu na zdalne wykonanie dowolnego kodu (RCE) na systemie ofiary, co może prowadzić do pełnego przejęcia kontroli nad systemem, kradzieży danych lub instalacji złośliwego oprogramowania.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się zachowanie ostrożności przy otwieraniu plików .ibnrs pochodzących z niezaufanych źródeł.

Kogo dotyczy

Addactis IBNRS w wersji 3.10.3.107

Uwagi

Proof-of-concept dostępny publicznie w repozytorium GitHub pod adresem https://github.com/ismailcemunver/CVE-2024-29375

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje