Estoy trabajando con un sistema que permite a los usuarios cargar archivos CSV, que son descargados por otros usuarios.
El sistema valida (entre otras cosas) que todos los archivos CSV pueden ser analizados por un analizador compatible con RFC 4180, y son válidos para UTF-8. Asegura que cuando los archivos se descargan, tienen Content-Type: text/csv; charset=utf-8
y Content-Disposition: attachment; filename="download.csv"
.
Se ha planteado la preocupación de que el sistema podría utilizarse para transmitir malware o código malicioso.
¿Hay algún mecanismo conocido en el que un archivo CSV malintencionado pueda hacer que el destinatario ejecute el código? Si es así, ¿hay alguna otra validación que reduzca el riesgo planteado?