Escapar fórmulas do Excel [Atualizado na Central de segurança 1.3]
Use a propriedade glide.export.escape_formulas para impedir a injeção do Excel, também conhecida como injeção de fórmula.
Evite que fórmulas potencialmente mal-intencionadas em programas como o Excel sejam executadas após exportar e abrir o arquivo, escapando fórmulas nesses arquivos. A injeção do Excel ocorre quando os sites incorporam entradas não confiáveis em arquivos do Excel. Quando você usa um aplicativo de planilha, como o Microsoft Excel ou LibreOffice Call, para abrir um arquivo, todas as células que começam com Fórmulas mal-intencionadas representam um risco mesmo quando a planilha não contém informações confidenciais, pois podem ser usadas para comprometer o computador do visualizador por meio da execução de código.
Defina glide.export.escape_formulas propriedade do sistema para verdadeiro para fazer com que essas fórmulas evitem a execução.
Mais informações
| Atributo | Descrição |
|---|---|
| Nome da propriedade | glide.export.escape_formulas |
| Tipo de configuração | Propriedades do sistema (/sys_properties_list.do) |
| Categoria | Validação, limpeza e codificação |
| Finalidade | Evitar a aplicação no Excel ou na injeção de fórmula. |
| Valor recomendado | verdadeiro |
| Valor-padrão | falso |
| Classificação de risco de segurança | 6.4 |
| Impacto funcional | Fórmulas elaboradas de forma maliciosa podem ser usadas para sequestrar o computador do usuário, explorando vulnerabilidades no software de planilha. |
| Risco à segurança | (Moderado) As fórmulas maliciosas representam um risco mesmo quando a planilha de incorporação não contém informações confidenciais, pois elas podem ser usadas para comprometer o computador do visualizador. |
| Solução alternativa | Como alternativa, considere remover todos os espaços em branco à direita onde for possível e limitar todos os dados fornecidos pelo cliente a caracteres alfanuméricos. |
| Referências | Propriedades do sistema disponíveis |
Para saber mais sobre como adicionar ou criar uma propriedade do sistema, consulte Add a system property.