GitHub Advanced Security to CSV 注入漏洞

CNNVD-ID编号	CNNVD-202209-1404
CVE编号	CVE-2022-39217
发布时间	2022-09-17
更新时间	2022-09-19
漏洞类型	注入
漏洞来源	N/A
危险等级	中危
威胁类型	N/A
厂商	N/A

漏洞介绍

GitHub Advanced Security to CSV是美国Natalie Somersall个人开发者的一个库。用于抓取 GitHub 高级安全 API 并将其推送到 CSV 的简单 GitHub 操作。 GitHub Advanced Security to CSV V1之前版本存在注入漏洞，该漏洞源于创建一个CSV文件时不会对API的输出进行清理。如果一个警报被驳回或任何其他自定义字段包含可执行代码/公式，则它可能会被在终端电子表格程序中打开该CSV文件时运行。

漏洞补丁

目前厂商已发布升级了GitHub Advanced Security to CSV 注入漏洞的补丁，GitHub Advanced Security to CSV 注入漏洞的补丁获取链接： https://github.com/nextcloud/security-advisories/security/advisories/GHSA-wq3g-2x46-q3gv

参考网址

来源:MISC

链接：https://github.com/some-natalie/ghas-to-csv/commit/d0b521928fa734513b5cd9c7d9d8e09db50e884a
来源:CONFIRM

链接：https://github.com/some-natalie/ghas-to-csv/security/advisories/GHSA-634p-93h9-92vh

受影响实体

暂无

信息来源

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202209-1404