CVE-2026-39424 CVSS 4.7 中危

CVE-2026-39424 MaxKB聊天导出CSV注入漏洞

披露日期: 2026-04-14

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-39424

漏洞类型

CSV注入

CVSS评分

4.7 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

MaxKB

漏洞概述

MaxKB 2.7.1及以下版本的聊天导出功能存在CSV注入漏洞。攻击者可发送包含恶意公式的聊天记录，诱导管理员导出为Excel文件。管理员打开文件后，Excel将解析公式并执行恶意代码，导致本地工作站被远程控制。

技术细节

漏洞位于`/admin/api/workspace/.../chat/export`接口。系统在导出聊天记录为Excel文件时，未对用户输入中的特殊字符（如`=`、`+`、`-`）进行转义或清洗。攻击者利用Excel的DDE（动态数据交换）机制，构造形如`=cmd|' /C command'!A0`的恶意载荷。当管理员在Excel中打开导出的CSV/XLSX文件时，Excel会自动执行载荷中的系统命令，从而在管理员机器上实现任意代码执行。该问题与CVE-2025-4546原理相同，但存在于不同的代码路径中。

攻击链分析

STEP 1

1. 注入恶意载荷

攻击者作为用户向MaxKB发送包含恶意CSV公式（如DDE命令）的聊天消息。

STEP 2

2. 触发导出功能

管理员登录后台，使用聊天导出功能将聊天记录导出为Excel文件。

STEP 3

3. 诱导打开文件

管理员在受影响的终端上使用Microsoft Excel打开导出的文件。

STEP 4

4. 执行任意代码

Excel解析文件中的恶意公式，通过DDE协议执行系统命令，导致RCE。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# Malicious payload to be sent in a chat message
payload = "=cmd|' /C calc'!A0"

# When the admin exports the chat and opens in Excel, calc.exe will execute.
# Example Python script to simulate the payload generation:
# def generate_dd_payload(command):
#     return f"=cmd|' /C {command}'!A0"
#
# print(generate_dd_payload('whoami'))

影响范围

MaxKB <= 2.7.1

防御指南

临时缓解措施

建议用户立即升级至安全版本。若无法升级，应限制管理员使用聊天导出功能，或在导出前人工审查数据。开发人员可临时修改代码，在导出逻辑中强制过滤或转义`=`, `+`, `-`, `@`等字符。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表