漏洞概述 漏洞名称: CSV Injection 影响包: 版本: 0.1 严重程度: 7.0 (HIGH) CVSS评分: 7.0 发布日期: 2025年12月6日 CVE编号: CVE-2024-9673 CWE编号: CWE-1338 影响范围 受影响版本: 0.1 漏洞描述: 该包是一个JSON到CSV和CSV到JSON的转换器,原生支持子文档并自动生成CSV标题。受影响的版本通过 选项存在CSV注入漏洞,该选项可以被绕过。攻击者可以在CSV文件中注入公式,这些公式在文件被电子表格应用程序打开时执行。 修复方案 修复状态: 修复已推送到 分支,但尚未发布。 参考链接: - GitHub Commit - GitHub Gist - Vulnerable Code POC代码 CVSS Base Scores 攻击向量 (AV): Local 攻击复杂度 (AC): Low 攻击要求 (AT): None 特权要求 (PR): None 用户交互 (UI): None 机密性 (VC): High 完整性 (VI): Low 可用性 (VA): None 机密性 (SC): None 完整性 (SI): None 可用性 (SA): None 威胁情报 社会趋势: Trending on % 利用成熟度: PROOF OF CONCEPT EPSS: 0.17% (7th percentile) 其他信息 Snyk ID: SNYK-JAVA-ORGWEBJARSNPM-17115116 发布日期: 2025年6月1日 披露日期: 2025年12月6日 信用: Itsaf Nabulisin 测试应用 在几个点击中,我们可以分析您的整个应用程序,查看哪些组件在您的应用程序中易受攻击,并建议您快速修复。 报告新漏洞 报告一个新漏洞 发现错误? --- 总结: 该漏洞涉及 包的CSV注入问题,攻击者可以通过注入公式来执行恶意代码。修复已推送到 分支,但尚未发布。建议尽快更新到修复版本。