CSV Injection in Application Chat Export 漏洞概述 MaxKB 应用聊天导出功能存在 CSV/Formula Injection 漏洞。当管理员导出应用聊天历史到 Excel 文件时,包含公式字符串的内容(如 接口返回的数据)未经过适当清理,直接写入 文件。若使用 Microsoft Excel 等电子表格软件打开该文件,可能触发 任意代码执行 (RCE),通过动态数据交换 (DDE) 在管理员工作站上执行恶意命令。 影响范围 受影响版本: 修复版本: CVE ID:CVE-2025-39424 弱点:无 CWE 分类 修复方案 升级至 或更高版本。 技术细节与 POC 代码 漏洞根源在于 中的 方法: 正则表达式 仅移除了无效 XML 控制字符( ),但未过滤数学公式前缀(如 , , , )。因此,当用户输入(例如通过公开应用接口)被嵌入生成的 文件时,Excel 会将其解释为动态公式,提示用户宏或执行计算,从而导致客户端 RCE。 > 注:此为 CVE-2025-4546 的变体,后者修复了相同模式在 中的问题,但遗漏了应用聊天导出功能。