Poweradmin v4.4.0 Vulnerável a Injeção de CSV e Exposição de Caminhos

A funcionalidade de exportação de logs do Poweradmin v4.4.0 grava dados controlados pelo usuário (campo username) em arquivos CSV sem sanitizar caracteres de gatilho de fórmula (=, +, -, @). Além disso, avisos de deprecação do PHP são emitidos antes dos cabeçalhos CSV, expondo caminhos internos de arquivos.

Administradores que exportam logs de atividade para CSV e abrem o arquivo em aplicativos de planilha (Microsoft Excel, LibreOffice Calc, Google Sheets).

Atualize o Poweradmin para uma versão corrigida assim que disponível, ou sanitize manualmente os arquivos CSV exportados prefixando caracteres de gatilho de fórmula com uma aspa simples ou tabulação antes de abrir em uma planilha.