phpLDAPadmin: Improper Neutralization of Formula Elements 漏洞信息(CVE-2024-9102)

一、漏洞 CVE-2024-9102 基础信息

漏洞标题

phpLDAPadmin: 不当中和公式元素

来源：AIGC 神龙大模型

漏洞描述信息

由于phpLDAPadmin 至少自版本1.2.0 到最新版本1.2.6.7，允许用户将LDAP 目录中的元素导出到逗号分隔值（CSV）文件中，但没有中和可能被电子表格产品解释为命令的特殊元素。因此，这可能导致CSV 公式注入。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

来源：AIGC 神龙大模型

漏洞类别

CWE-1236

来源：AIGC 神龙大模型

漏洞标题

phpLDAPadmin: Improper Neutralization of Formula Elements

来源：美国国家漏洞数据库 NVD

漏洞描述信息

phpLDAPadmin since at least version 1.2.0 through the latest version 1.2.6.7 allows users to export elements from the LDAP directory into a Comma-Separated Value (CSV) file, but it does not neutralize special elements that could be interpreted as a command when the file is opened by a spreadsheet product. Thus, this could lead to CSV Formula Injection.

来源：美国国家漏洞数据库 NVD

CVSS信息

N/A

来源：美国国家漏洞数据库 NVD

漏洞类别

N/A

来源：美国国家漏洞数据库 NVD

漏洞标题

phpLDAPadmin 安全漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

phpLDAPadmin是phpLDAPadmin个人开发者的一款基于Web的LDAP客户端，它主要用于管理LDAP服务器。 phpLDAPadmin 1.2.0版本至1.2.6.7版本存在安全漏洞。攻击者利用该漏洞可以导致 CSV 公式注入。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

其他

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2024-9102 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2024-9102 的情报信息

标题： Redguard AG - Security Advisory: Multiple Vulnerabilities in the Open Source Software phpLDAPadmin -- 🔗来源链接

标签： third-party-advisory
https://github.com/leenooks/phpLDAPadmin/commit/ea17aadef46fd29850160987fe7740ceed1381ad#diff-93b9f3e6d4c5bdacf469ea0ec74c1e9217ca6272da9be5a1bfd711f7da16f9e3R240
标题： phpLDAPadmin - Browse /phpldapadmin-php5/1.2.0 at SourceForge.net -- 🔗来源链接

标签：
https://nvd.nist.gov/vuln/detail/CVE-2024-9102

一、 漏洞 CVE-2024-9102 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2024-9102 的公开POC

三、漏洞 CVE-2024-9102 的情报信息

一、漏洞 CVE-2024-9102 基础信息