一、 漏洞 CVE-2024-53924 基础信息
漏洞信息
                                        # N/A

## 漏洞概述
Pycel 是一个用于解析和计算 Excel 公式的 Python 库。在版本 1.0b30 及之前的版本中,当处理不受信任的电子表格时,存在允许代码执行的安全漏洞。攻击者可以通过在单元格中使用精心设计的公式(例如以 `=IF(A1=200, eval("__import__('os').system(` 开头的公式)触发该漏洞。

## 影响版本
- Pycel <= 1.0b30

## 漏洞细节
漏洞在于用户可以构造一个包含恶意公式的电子表格。当 Pycel 处理这个电子表格时,恶意公式会被执行,导致代码执行。具体来说,攻击者可以通过包含类似 `=IF(A1=200, eval("__import__('os').system(` 的公式来触发漏洞,从而执行任意系统命令。

## 漏洞影响
成功利用该漏洞可以使攻击者在运行 Pycel 的环境中执行任意代码,从而可能获取敏感信息、篡改数据或者进一步攻击其他系统。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Pycel through 1.0b30, when operating on an untrusted spreadsheet, allows code execution via a crafted formula in a cell, such as one beginning with the =IF(A1=200, eval("__import__('os').system( substring.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
pycel 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
pycel是Dirk Gorissen个人开发者的一个用于将excel电子表格编译为python代码并将其可视化为图形的库。 pycel 1.0b30及之前版本存在安全漏洞,该漏洞源于处理不可信电子表格时可能执行任意代码。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-53924 的公开POC
# POC 描述 源链接 神龙链接
1 A PoC of CVE-2024-53924 https://github.com/aelmosalamy/CVE-2024-53924 POC详情
三、漏洞 CVE-2024-53924 的情报信息
四、漏洞 CVE-2024-53924 的评论

暂无评论

发表评论