ferdi2go/Meeting-Mixer
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

[Security] Excel-Formel-Injection über Mitarbeiternamen #7

New Issue
Closed
opened 2026-06-03 14:10:02 +02:00 by ferdi2go · 1 comment
ferdi2go commented 2026-06-03 14:10:02 +02:00
Owner
Copy Link
Copy Source

Schweregrad: LOW (OWASP A03)

Dateien: js/excel.js:36, js/excel.js:21-23

Problem: Namen werden ungefiltert in Zellen geschrieben. Ein Name wie =HYPERLINK(...) wird beim Öffnen der XLSX als Formel interpretiert (relevant, wenn die Datei geteilt wird).

Fix: Zellwerte mit führendem = + - @ vor dem Schreiben mit ' prefixen.

**Schweregrad:** LOW (OWASP A03) **Dateien:** `js/excel.js:36`, `js/excel.js:21-23` **Problem:** Namen werden ungefiltert in Zellen geschrieben. Ein Name wie `=HYPERLINK(...)` wird beim Öffnen der XLSX als Formel interpretiert (relevant, wenn die Datei geteilt wird). **Fix:** Zellwerte mit führendem `= + - @` vor dem Schreiben mit `'` prefixen.
ferdi2go added the severity/lowsecurity labels 2026-06-03 14:10:02 +02:00
ferdi2go commented 2026-06-03 14:37:32 +02:00
Author
Owner
Copy Link
Copy Source

Behoben in e6452fa: neue sanitizeCell-Funktion — Zellwerte mit führendem = + - @ (oder Steuerzeichen) werden mit ' als Text neutralisiert, angewandt auf die Namensspalte beim Excel-Export. Inkl. Tests.

Behoben in `e6452fa`: neue `sanitizeCell`-Funktion — Zellwerte mit führendem `= + - @` (oder Steuerzeichen) werden mit `'` als Text neutralisiert, angewandt auf die Namensspalte beim Excel-Export. Inkl. Tests.
Sign in to join this conversation.
No Branch/Tag Specified
Branches Tags
Labels
Clear labels
a11y
Barrierefreiheit
 bug
Logik-/Korrektheitsfehler
 code-quality
Code-Qualitaet / Refactoring
 docs
Dokumentation
 performance
Performance
 security
Sicherheit / Hardening
 severity/high
Hoher Schweregrad
 severity/low
Niedriger Schweregrad
 severity/medium
Mittlerer Schweregrad
 testing
Tests
No Label security severity/low
Milestone
No items
No Milestone
Projects
Clear projects
No project
Assignees
Clear assignees
ferdi2go
No Assignees
1 Participants
Notifications
Due Date
No due date set.
Dependencies

No dependencies set.

Reference: ferdi2go/Meeting-Mixer#7
Delete Branch "%!s()"

Deleting a branch is permanent. Although the deleted branch may continue to exist for a short time before it actually gets removed, it CANNOT be undone in most cases. Continue?