Vulnerabilities > CVE-2018-15474 - Improper Neutralization of Formula Elements in a CSV File vulnerability in Dokuwiki

CVSS 9.6 - CRITICAL

Attack vector

NETWORK

Attack complexity

LOW

Privileges required

NONE

Confidentiality impact

HIGH

Integrity impact

HIGH

Availability impact

HIGH

network

low complexity

dokuwiki

CWE-1236

critical

NVD

Published: 2018-09-07

Updated: 2024-08-05

Summary

CSV Injection (aka Excel Macro Injection or Formula Injection) in /lib/plugins/usermanager/admin.php in DokuWiki 2018-04-22a and earlier allows remote attackers to exfiltrate sensitive data and to execute arbitrary code via a value that is mishandled in a CSV export. NOTE: the vendor has stated "this is not a security problem in DokuWiki.

Vulnerable Configurations

Part	Description	Count
Application	Dokuwiki Dokuwiki Dokuwiki 2004-07-04 Dokuwiki Dokuwiki 2004-07-07 Dokuwiki Dokuwiki 2004-07-12 Dokuwiki Dokuwiki 2004-07-21 Dokuwiki Dokuwiki 2004-07-25 Dokuwiki Dokuwiki 2004-08-08 Dokuwiki Dokuwiki 2004-08-15A Dokuwiki Dokuwiki 2004-08-22 Dokuwiki Dokuwiki 2004-09-12 Dokuwiki Dokuwiki 2004-09-25 Dokuwiki Dokuwiki 2004-09-30 Dokuwiki Dokuwiki 2004-10-19 Dokuwiki Dokuwiki 2004-11-01 Dokuwiki Dokuwiki 2004-11-02 Dokuwiki Dokuwiki 2004-11-10 Dokuwiki Dokuwiki 2005-01-14 Dokuwiki Dokuwiki 2005-01-15 Dokuwiki Dokuwiki 2005-01-16 Dokuwiki Dokuwiki 2005-01-16A Dokuwiki Dokuwiki 2005-02-06 Dokuwiki Dokuwiki 2005-02-18 Dokuwiki Dokuwiki 2005-05-07 Dokuwiki Dokuwiki 2005-07-01 Dokuwiki Dokuwiki 2005-07-13 Dokuwiki Dokuwiki 2005-09-19 Dokuwiki Dokuwiki 2005-09-22 Dokuwiki Dokuwiki 2006-03-05 Dokuwiki Dokuwiki 2006-03-09 Dokuwiki Dokuwiki 2006-03-09E Dokuwiki Dokuwiki 2006-06-04 Dokuwiki Dokuwiki 2006-11-06 Dokuwiki Dokuwiki 2007-06-26 Dokuwiki Dokuwiki 2007-07-13 Dokuwiki Dokuwiki 2008-05-04 Dokuwiki Dokuwiki 2008-05-05 Dokuwiki Dokuwiki 2009-02-14 Dokuwiki Dokuwiki 2009-02-14B Dokuwiki Dokuwiki 2009-12-25 Dokuwiki Dokuwiki 2009-12-25C Dokuwiki Dokuwiki 2010-11-07 Dokuwiki Dokuwiki 2010-11-07A Dokuwiki Dokuwiki 2010-11-07B Dokuwiki Dokuwiki 2011-05-25 Dokuwiki Dokuwiki 2011-05-25A Dokuwiki Dokuwiki 2011-05-25C Dokuwiki Dokuwiki 2011_05_25 Dokuwiki Dokuwiki 2011_05_25A Dokuwiki Dokuwiki 2012-01-25 Dokuwiki Dokuwiki 2012-01-25A Dokuwiki Dokuwiki 2012-01-25B Dokuwiki Dokuwiki 2012-01-25C Dokuwiki Dokuwiki 2012-10-13 Dokuwiki Dokuwiki 2013-05-10 Dokuwiki Dokuwiki 2013-05-10A Dokuwiki Dokuwiki 2013-12-08 Dokuwiki Dokuwiki 2013-12-08A Dokuwiki Dokuwiki 2014-05-05 Dokuwiki Dokuwiki 2014-05-05A Dokuwiki Dokuwiki 2014-05-05B Dokuwiki Dokuwiki 2014-05-05C Dokuwiki Dokuwiki 2014-05-05D Dokuwiki Dokuwiki 2014-05-05E Dokuwiki Dokuwiki 2014-09-29 Dokuwiki Dokuwiki 2014-09-29A Dokuwiki Dokuwiki 2014-09-29B Dokuwiki Dokuwiki 2014-09-29C Dokuwiki Dokuwiki 2014-09-29D Dokuwiki Dokuwiki 2014_05_05C Dokuwiki Dokuwiki 2014_05_05D Dokuwiki Dokuwiki 2014_05_05E Dokuwiki Dokuwiki 2014_09_29B Dokuwiki Dokuwiki 2014_09_29C Dokuwiki Dokuwiki 2014_09_29D Dokuwiki Dokuwiki 2015-08-10 Dokuwiki Dokuwiki 2015-08-10A Dokuwiki Dokuwiki 2016-06-26 Dokuwiki Dokuwiki 2016-06-26A Dokuwiki Dokuwiki 2016-06-26B Dokuwiki Dokuwiki 2016-06-26C Dokuwiki Dokuwiki 2016-06-26D Dokuwiki Dokuwiki 2016-06-26E Dokuwiki Dokuwiki 2017-02-19 Dokuwiki Dokuwiki 2017-02-19A Dokuwiki Dokuwiki 2017-02-19B Dokuwiki Dokuwiki 2017-02-19C Dokuwiki Dokuwiki 2017-02-19D Dokuwiki Dokuwiki 2017-02-19E Dokuwiki Dokuwiki 2017-02-19F Dokuwiki Dokuwiki 2018-04-22 Dokuwiki Dokuwiki 2018-04-22A	90

Common Weakness Enumeration (CWE)

CWE-1236 - Improper Neutralization of Formula Elements in a CSV File

Packetstorm

data source	https://packetstormsecurity.com/files/download/149260/SA-20180906-0.txt
id	PACKETSTORM:149260
last seen	2018-09-07
published	2018-09-06
reporter	Jean-Benjamin Rousseau
source	https://packetstormsecurity.com/files/149260/DokuWiki-2018-04-22a-Greebo-Arbitrary-Code-Execution.html
title	DokuWiki 2018-04-22a Greebo Arbitrary Code Execution

Summary

Vulnerable Configurations

Common Weakness Enumeration (CWE)

Packetstorm

References