Anviz CrossChex 4.3 Excel宏注入漏洞 (ZSL-2018-5498)

关键信息 漏洞概述 标题: Anviz AIM CrossChex Standard 4.3 Excel Macro Injection 公告ID: ZSL-2018-5498 类型: Local/Remote 影响: System Access 风险: 3/5 发布日期: 01.11.2018 漏洞描述 CVE (XLS) Injection (Excel Macro Injection or Formula Injection) 在 Anviz CrossChex 4.3 中通过导入带有恶意宏的 Excel 文件时存在。恶意攻击者可通过在 'Name' 字段添加宏，或在自定义字段 'Gender', 'Position', 'Phone', 'Birthday', 'Employ Date' 和 'Address' 中插入宏来执行任意命令。 影响版本 4.3.6.0 测试环境 Microsoft Windows 7 Professional SP1 (EN) PoC anviz_macroi.txt 发现者 Gjoko Krstic - 参考资料 1. packetstormsecurity.com 2. exploit-db.com 3. cxsecurity.com 4. exchange.xforce.ibmcloud.com 更改日志 [01.11.2018] - 初始发布 [02.11.2018] - 添加参考资料 [1], [2] 和 [3] [05.11.2018] - 添加参考资料 [4]

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

Anviz CrossChex 4.3 Excel宏注入漏洞 (ZSL-2018-5498)

目标达成感谢每一位支持者 — 我们达成了 100% 目标！