Se sabe que la funcionalidad de referencias externas de MS Excel permitirá ejecutar comandos arbitrarios desde sus fórmulas con las advertencias de seguridad apropiadas y la confirmación requerida por el usuario.
Por ejemplo, tener una celda en la hoja de Excel (o el archivo CSV abierto por Excel) que contiene la fórmula =cmd|' /C calc'!A1
ejecutará calc.exe de una manera que puede extenderse para ejecutar código arbitrario.
Sin embargo, esto plantea dos preguntas:
-
¿Los detalles de esta funcionalidad están documentados en alguna parte? MS Office documentación de referencias externas no lo hace.
-
¿Existe una construcción equivalente en Excel para Mac? El ejemplo particular no funciona, pero también podría ser debido a que cmd (y calc) son nombres de comandos específicos de Windows; Si la ejecución externa es intencional (ya que esas vulnerabilidades antiguas no se han eliminado, pero solo se agregaron las advertencias), probablemente también debería implementarse en Excel para Mac.