Een zwakte in de Quick Export functie van UnoPim kan leiden tot CSV-injectie, ook bekend als formule-injectie. Deze kwetsbaarheid maakt het mogelijk voor aanvallers om kwaadaardige inhoud toe te voegen aan geëxporteerde CSV-bestanden, wat resulteert in mogelijke uitvoering van willekeurige code wanneer zulke bestanden geopend worden in programma’s als Microsoft Excel.
Overzicht
UnoPim, een open-source Product Information Management (PIM) systeem gebouwd op het Laravel framework, is kwetsbaar voor CSV-injectie in versies 0.3.0 en lager. Wanneer een CSV-bestand uitgevoerd wordt in spreadsheettoepassingen, kan de kwaadaardige invoer worden geïnterpreteerd als een formule of commando.
Aanbevelingen
- Gebruikers wordt dringend aangeraden om te upgraden naar versie 0.3.1 of nieuwer om deze kwetsbaarheid te mitigeren.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-55745?
Het is een CSV-injectie kwetsbaarheid in de Quick Export functie van UnoPim.
Welke systemen zijn kwetsbaar voor CVE-2025-55745?
UnoPim versies 0.3.0 en lager zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, gebruikers moeten upgraden naar versie 0.3.1 of later.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan via CSV-injectie mogelijk willekeurige code uitvoeren op het apparaat van het slachtoffer, inclusief het opzetten van een reverse shell.
