ืคืืืขืืช ืงืจืืืืช (CVE-2023-7101) ืืืืชื ืืืืืื Perl Spreadsheet::ParseExcel, ืืืกืคืง ืคืื ืงืฆืืืช ืื ืืชืื ืงืืืฆื Excel, ืืืืคืฉืจ ืืืฆืืข ืงืื ืฉืจืืจืืชื ืืขืช ืขืืืื ืงืืฆื XLS ืื XLSX ืืืืืืื ืืืื ืขืืฆืื ืืกืคืจืื ืืคืืจืื ืืืืื. ืืคืืืขืืช ื ืืจืืช ืขื ืืื ืฉืืืืฉ ืื ืชืื ืื ืืืชืงืืืื ืืืงืืืฅ ืืืขืืื ืืขืช ืื ืืืช ืืงืจืืื "eval". ืืืขืื ืชืืงื ื ืืขืืืื Spreadsheet::ParseExcel 0.66. ืืฉ ืื ืืืคืืก ืฉื ืื ืืฆืื. ืงืื ืคืืืข: if ( $format_str =~ /^\[([<>=][^\]]+)\](.*)$/ ) { $conditional = $1; $format_str = $2; } ... $section = eval "$number $conditional" ? 0 : 1; ืืืืื ืื ืืฆืื ืืืืฆืืข ืืคืงืืื whoami: 1;system('whoami > /tmp/inject.txt')]123โณ/ >
ืืคืืืขืืช ืืืืชื ืขื ืืื Barracuda Networks ืืืืื ื ืืชืื ืฉื ืืชืงืคื ืืืฆืืช ืชืืื ืืช ืืืื ืืืช ืืืืฉืืจื Barracuda ESG (Email Security Gateway). ืืกืืื ืืคืืืขื ืืืืฉืืจ ืืืืชื ืคืืืขืืช ืฉื 0 ืืืื (CVE-2023-7102) ืืืืืื Spreadsheet::ParseExcel, ืืืฉืืฉ ื-Barracuda ESG ืื ืืชืื ืงืืฆืื ืืฆืืจืคืื ืืืืืจ ืืืงืืจืื ื ืืคืืจืื Excel. ืืื ืืืคืขืื ืืช ืืงืื ืฉืื ืขื ืืขืจืืืช ืืืฉืชืืฉืืช ื-Barracuda ESG, ืื ืืื ืืกืคืืง ืืฉืืื ืืืื ืขื ืงืืืฅ ืืฆืืจืฃ ืืขืืฆื ืืืืืื.
ืืงืืจ: OpenNet.ru