NVD Vulnerability Detail

CVE-2024-51094

Summary	An issue in Snipe-IT v.7.0.13 build 15514 allows a low-privileged attacker to modify their profile name and inject a malicious payload into the "Name" field. When an administrator later accesses the People Management page, exports the data as a CSV file, and opens it, the injected payload will be executed, allowing the attacker to exfiltrate internal system data from the CSV file to a remote server.
Publication Date	Nov. 13, 2024, 6:15 a.m.
Registration Date	Nov. 13, 2024, noon
Last Update	Nov. 20, 2024, 2:35 a.m.

Related information, measures and tools

No	URL	refsource	タグ
1	https://gist.githubusercontent.com/Tommywarren/b3a6c6ae5a93dd67c863313f71f53a76/raw/ddff8cbbab5179f680ba3f5e94fc080575ad8913/CVE-2024-51094

Common Vulnerabilities List

JVN Vulnerability Information

Grokability, Inc. の Snipe-IT における CSV ファイル内の数式要素の中和に関する脆弱性

Title	Grokability, Inc. の Snipe-IT における CSV ファイル内の数式要素の中和に関する脆弱性
Summary	Grokability, Inc. の Snipe-IT には、CSV ファイル内の数式要素の中和に関する脆弱性が存在します。
Possible impacts	情報を取得される、情報を改ざんされる、およびサービス運用妨害 (DoS) 状態にされる可能性があります。
Solution	参考情報を参照して適切な対策を実施してください。
Publication Date	Nov. 12, 2024, midnight
Registration Date	May 23, 2025, 12:34 p.m.
Last Update	May 23, 2025, 12:34 p.m.

Affected System

Grokability, Inc.

Snipe-IT 7.0.13

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2024-51094	https://www.cve.org/CVERecord?id=CVE-2024-51094
National Vulnerability Database (NVD)
2	CVE-2024-51094	https://nvd.nist.gov/vuln/detail/CVE-2024-51094

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-1236	https://cwe.mitre.org/data/definitions/1236.html

その他

No	Name	URL
関連文書
1	gist.githubusercontent.com (CVE-2024-51094)	https://gist.githubusercontent.com/Tommywarren/b3a6c6ae5a93dd67c863313f71f53a76/raw/ddff8cbbab5179f680ba3f5e94fc080575ad8913/CVE-2024-51094

Change Log

No	Changed Details	Date of change
1	[2025年05月23日] 掲載	May 23, 2025, 12:34 p.m.