Athari mbaya (CVE-2023-7101) imetambuliwa katika Lahajedwali ya moduli ya Perl::ParseExcel, ambayo hutoa utendakazi wa kuchanganua faili za Excel, ambayo inaruhusu utekelezaji wa msimbo kiholela wakati wa kuchakata faili za XLS au XLSX ambazo zinajumuisha sheria maalum za uumbizaji nambari. Athari husababishwa na matumizi ya data iliyopatikana kutoka kwa faili inayochakatwa wakati wa kuunda simu ya "eval". Tatizo limesuluhishwa katika sasisho la Lahajedwali::ParseExcel 0.66. Kuna mfano wa unyonyaji. Msimbo unaoweza kuathiriwa: ikiwa ( $format_str =~ /^\[([<>=][^\]]+)\](.*)$/ ) {$conditional = $1; $format_str = $2; } ... $section = eval "$number $conditional" ? 0 : 1; Mfano wa matumizi makubwa ya kutekeleza amri ya whoami: 1;system('whoami > /tmp/inject.txt')]123β³/ >
Athari hiyo ilitambuliwa na Barracuda Networks wakati wa uchanganuzi wa shambulio la kuweka programu hasidi kwenye vifaa vya Barracuda ESG (Email Security Gateway). Sababu ya maelewano ya kifaa ilikuwa hatari ya siku 0 (CVE-2023-7102) katika Lahajedwali::Moduli ya ParseExcel, inayotumika katika Barracuda ESG kuchanganua viambatisho vya barua pepe katika umbizo la Excel. Ili kutekeleza msimbo wako kwenye mifumo inayotumia Barracuda ESG, ilitosha kutuma barua pepe iliyo na kiambatisho cha barua pepe iliyoundwa mahususi.
Chanzo: opennet.ru