关键信息 描述 NCR Terminal Handler v1.5.1 存在一个 CSV 注入漏洞,允许攻击者将恶意电子表格公式注入导出的 CSV 文件中。通过在任何用户可控的文本字段中插入特制的有效载荷,攻击者可以在使用 Microsoft Excel 或 LibreOffice Calc 等应用程序打开 CSV 时触发公式执行。 漏洞类型 CSV 注入(也称为公式注入) 厂商 NCR Corporation 受影响产品 Terminal Handler – v1.5.1 受影响组件 终端导入/导出功能 影响 成功的利用可能导致: 通过易受攻击环境中的公式(如 =CMD() 或 =powershell())执行任意命令 使用 =WEBSERVICE()、=HYPERLINK() 或类似 Excel 函数进行数据外泄 如果导出的 CSV 被特权用户(如管理员或分析师)打开,则导致客户端妥协 此漏洞在经常在电子表格应用程序中审查导出数据的环境中尤其具有风险。 CVE 引用 国家漏洞数据库: CVE-2023-47295 MITRE Corporation: CVE-2023-47295 Tenable: CVE-2023-47295 发现者 Peter Wahba LinkedIn