Une vulnérabilité critique de Grist-Core permet des attaques RCE via des formules de feuille de calcul

The Hacker News - TheHackerNews - 27/01
Une faille critique Grist-Core (CVE-2026-24002, CVSS 9.1) permet l'exécution de code à distance via des formules malveillantes lorsque le sandboxing Pyodide est activé.

Une faille de sécurité critique a été révélée dans Grist‑Core, une version open source auto-hébergée de la base de données relationnelle Grist, qui pourrait entraîner l'exécution de code à distance.

La vulnérabilité, identifiée comme CVE-2026-24002 (score CVSS : 9,1), a été nommée Cellbreak par Cyera Research Labs.

"Une formule malveillante peut transformer une feuille de calcul en une tête de pont pour l'exécution de code à distance (RCE)," a déclaré le chercheur en sécurité Vladimir Tokarev, qui a découvert la faille. « Cet échappement sandbox permet à un auteur de formule d'exécuter des commandes du système d'exploitation ou d'exécuter du JavaScript d'exécution sur l'hôte, réduisant ainsi la fr...
[Courte citation de 8% de l'article original]

Loading...