Des chercheurs en sécurité ont découvert un défaut d’injection de commande dans la bibliothèque tierce Spreadsheet::ParseExcel. Cette dernière est une bibliothèque open source utilisée par l’antivirus Amavis au sein de l’application Barracuda ESG.
L’exploitation de cette faille par un attaquant distant et non authentifié permet, en déployant une pièce jointe Excel spécifiquement forgée, d’exécuter du code arbitraire.
L’éditeur mentionne que la vulnérabilité est activement exploitée.