Course Roster vulnerable to CSV Injection in Autolab 漏洞信息(CVE-2024-53260)

一、漏洞 CVE-2024-53260 基础信息

漏洞标题

Autolab课程名单存在CSV注入漏洞

来源：AIGC 神龙大模型

漏洞描述信息

Autolab是一个课程管理服务，支持自动评分编程作业。用户可以修改他们的名字（包括名字和/或姓氏）以包含一个有效的Excel/电子表格公式。当教师下载课程名单并打开时，这些名字将会被评估为公式。这可能导致课程名单中的学生信息泄露，因为数据会被发送到远程端点。此问题已经在源代码仓库中进行了修复，修复将在下一个版本中发布。建议用户手动修补他们的系统或等待下一个版本的发布。目前没有已知的绕过此漏洞的方法。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:N

来源：AIGC 神龙大模型

漏洞类别

信息暴露

来源：AIGC 神龙大模型

漏洞标题

Course Roster vulnerable to CSV Injection in Autolab

来源：美国国家漏洞数据库 NVD

漏洞描述信息

Autolab is a course management service that enables auto-graded programming assignments. A user can modify their first and or last name to include a valid excel / spreadsheet formula. When an instructor downloads their course's roster and opens, this name will then be evaluated as a formula. This could lead to leakage of information of students in the course roster by sending the data to a remote endpoint. This issue has been patched in the source code repository and the fix is expected to be released in the next version. Users are advised to manually patch their systems or to wait for the next release. There are no known workarounds for this vulnerability.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:N/A:N

来源：美国国家漏洞数据库 NVD

漏洞类别

N/A

来源：美国国家漏洞数据库 NVD

漏洞标题

Autolab 安全漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

Autolab是Autolab开源的一项课程管理服务。支持自动评分的编程作业。 Autolab 3.0.2及之前版本存在安全漏洞，该漏洞源于用户可以修改其名字或姓氏，可能导致课程名册中学生的信息泄露。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

其他

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2024-53260 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2024-53260 的情报信息

标题： Course Roster vulnerable to CSV Injection · Advisory · autolab/Autolab · GitHub -- 🔗来源链接

标签： x_refsource_CONFIRM
神龙速读
标题： Merge commit from fork · autolab/Autolab@fe44b53 · GitHub -- 🔗来源链接

标签： x_refsource_MISC
神龙速读
https://nvd.nist.gov/vuln/detail/CVE-2024-53260

一、 漏洞 CVE-2024-53260 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2024-53260 的公开POC

三、漏洞 CVE-2024-53260 的情报信息

一、漏洞 CVE-2024-53260 基础信息