cve - 2021 - 41270:防止CSV注入通过公式

2021年11月24日·发表的《阿凡达》的法比安效力法比安效力

描述

CSV注入,也称为公式注入,发生在网站中嵌入CSV文件内不可信的输入。当一个电子表格程序打开一个CSV,任何细胞开始=解释软件的一个公式,可以被攻击者。

在Syob娱乐下载mfony 4.1中,我们添加了选择csv_escape_formulas选项CsvEncoder前缀所有细胞开始的=,+,- - - - - -@由一个标签\ t

此后,OWASP 2字符列表:添加选项卡(0 x09)——回车(0 x0d)

这使我们之前的前缀字符(选项卡\ t)的一部分弱势的角色,OWASP建议使用单引号前缀的价值。

决议

ob娱乐下载Symfony现在遵循OWASP的建议和使用单引号前缀公式并添加前缀细胞开始的\ t,r \以及=,+,- - - - - -@

这个问题是可用的补丁在这里4.4分支。

学分

我们想感谢杰克巴威尔报道的问题,杰里米·Derusse修复这个问题。

发表在#安全警告

发现Symfony的安全问题?ob娱乐下载将详细信息发送到安全[在]symfony.cob娱乐下载om不公开披露它,直到我们可以提供一个解决。

管理你的通知偏好尽快收到一封电子邮件一个Symfony的安全版本出版。ob娱乐下载

帮助Symfonyob娱乐下载项目!

与任何开源项目一样,贡献代码或文档来帮助欧宝官网下载app是最常见的方式,但我们也有一个广泛的赞助机会

评论

评论都关门了。

以确保评论保持相关,他们关闭了旧的帖子。