Podatność typu CSV injection w endpoincie /id_profiles systemu Avigilon Access Control Manager v7.10.0.20 umożliwia atakującemu wykonanie dowolnego kodu. Luka jest szczególnie niebezpieczna, ponieważ nie wymaga uwierzytelnienia ani interakcji ze strony uprzywilejowanego użytkownika.
▸ Pokaż oryginał (EN)
A CSV injection vulnerability in the /id_profiles endpoint of Avigilon ACM v7.10.0.20 allows attackers to execute arbitrary code via suuplying a crafted Excel file.
Atak polega na dostarczeniu specjalnie spreparowanego pliku Excel zawierającego złośliwe formuły (tzw. formuły wstrzykujące) do podatnego endpointu /id_profiles. Gdy plik jest przetwarzany przez aplikację lub otwierany przez użytkownika w arkuszu kalkulacyjnym, osadzone formuły mogą być wykonane jako polecenia systemowe. Jest to klasyczny przykład CWE-1236 (Improper Neutralization of Formula Elements in a CSV File), gdzie dane wejściowe nie są odpowiednio sanitizowane przed osadzeniem w pliku CSV/Excel.
Atakujący może wykonać dowolny kod na systemie ofiary, co potencjalnie prowadzi do pełnego przejęcia kontroli nad systemem, wycieku danych lub zakłócenia działania systemu kontroli dostępu.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Do czasu aktualizacji zaleca się ograniczenie dostępu do endpointu /id_profiles oraz unikanie otwierania plików eksportowanych z systemu w aplikacjach arkuszy kalkulacyjnych.
Avigilon Access Control Manager (ACM) w wersji v7.10.0.20
Szczegóły techniczne podatności zostały opublikowane przez badacza nikolas-ch w repozytorium GitHub (https://github.com/nikolas-ch/CVEs/tree/main/AvigilonACM_v7.10.0.20/CSV_Injection), co oznacza publiczną dostępność informacji o podatności.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HAvigilon Access Control Manager
APPAvigilon7.10.0.20