漏洞概述 CVE 编号: CVE-2023-5527 漏洞名称: Business Directory Plugin – CSV Injection (CSV 注入) 漏洞类型: CSV Injection (也称为公式注入),归类为 OWASP TOP-10 中的 A7: Cross-Site Scripting (XSS)。 描述: 该漏洞存在于 文件中,该文件负责将目录数据导出为 CSV 格式。攻击者可以将恶意输入嵌入到目录字段中,当这些数据被管理员导出为 CSV 文件并在本地打开时,可能导致恶意代码执行。 影响范围 受影响插件: Business Directory Plugin for WordPress 受影响版本: 6.4.3 及以下版本 (版本 < 6.4.4) 活跃安装量: 超过 10,000 个 发布日期: 2024 年 6 月 9 日 POC/利用方式 利用此漏洞需要攻击者拥有作者级或更高权限。具体步骤如下: 1. Payload 注入: 攻击者在目录字段中输入恶意公式。 示例 Payload: 2. CSV 导出: 站点管理员将包含恶意数据的目录导出为 CSV 文件。 3. 文件打开: 管理员在本地系统上使用易受攻击的电子表格应用程序(如 Microsoft Excel 或 LibreOffice Calc)打开该 CSV 文件。 4. 代码执行: 恶意公式被解释并执行,可能导致打开远程 URL 或执行脚本。 修复方案 1. 输入验证: 实施严格的输入验证,在数据包含在 CSV 导出之前清理和转义所有用户提供的数据。 2. 安全更新: 定期更新 Business Directory Plugin 及所有其他插件,确保已知漏洞已修补。 3. 用户权限: 限制拥有作者级权限或更高权限的用户数量,确保只有受信任的个体拥有这些权限。 4. 电子表格应用程序安全**: 教育管理员禁用电子表格应用程序中公式的自动执行,并使用不解释公式的 CSV 查看器。