Katalog CVE

CVE-2026-47693

ŚrednieCVSS 6.9
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.23%

Percentyl 14 — wyżej niż 14% wszystkich znanych CVE

Streszczenie

Poweradmin przed wersjami 4.2.4 i 4.3.3 jest podatny na wstrzykiwanie formuł CSV w funkcji eksportu logów. Nazwa użytkownika, która może być kontrolowana przez atakującego, jest zapisywana do plików CSV bez oczyszczania znaków wyzwalających formuły (=, +, -, @).

Ocena ryzyka

Gdy administrator otworzy wyeksportowany plik CSV w arkuszu kalkulacyjnym (Excel, LibreOffice Calc, Google Sheets), formuła zawarta w nazwie użytkownika może zostać wykonana, co umożliwia ataki phishingowe lub kradzież danych.

Rekomendacja

Należy niezwłocznie zaktualizować Poweradmin do wersji 4.2.4 lub 4.3.3, które usuwają tę podatność.

Oryginalny opis (angielski, źródło NVD)

Poweradmin is a web-based DNS administration tool for PowerDNS server. Versions prior to 4.2.4 and 4.3.3 are vulnerable to CSV Injection (Formula Injection) in its log export functionality. User-controlled data — specifically the username field — is written to exported CSV files without sanitizing formula trigger characters (=, +, -, @). When an administrator exports activity logs and opens the resulting CSV in a spreadsheet application (Microsoft Excel, LibreOffice Calc, Google Sheets), any formula stored in a username is executed by the application. This can be used for phishing attacks against administrators or data exfiltration. Versions 4.2.4 and 4.3.3 patch the issue.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS