一、 漏洞 CVE-2025-62417 基础信息
漏洞信息
                                        # Bagisto CSV 公式注入漏洞

## 概述

Bagisto 是一个基于 Laravel 的开源电子商务平台。其在处理产品数据时存在一个安全隐患:当产品数据以表格公式字符(例如 `=`, `+`, `-`, `@`)开头时,若该数据被导出为 CSV 文件并在电子表格软件中打开,表格软件会将其解析为公式。

## 影响版本

受影响版本在 2.3.8 之前。

## 细节

攻击者可以构造一个包含恶意公式的数据字段(如产品名称),当该字段被导出为 CSV 并被用户使用 Excel 或其他表格软件打开时,可能触发公式执行。攻击可借助旧版 Excel 漏洞、OLE 对象、命令执行构造或 Excel 宏实现。

## 影响

该漏洞可能导致以下后果:

- **数据泄露**:攻击者构造的公式可访问本地或远程资源,窃取敏感信息;
- **远程命令执行**:通过特定公式和宏,可能在受害者的系统上执行任意命令。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
bagisto - CSV Formula Injection in Create New Product
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Bagisto is an open source laravel eCommerce platform. When product data that begins with a spreadsheet formula character (for example =, +, -, or @) is accepted and later exported or saved into a CSV and opened in spreadsheet software, the spreadsheet will interpret that cell as a formula. This allows an attacker to supply a CSV field (e.g., product name) that contains a formula which may be evaluated by a victim’s spreadsheet application — potentially leading to data exfiltration and remote command execution (via older Excel exploits / OLE/cmd constructs or Excel macros). This vulnerability is fixed in 2.3.8.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Webkul Software Bagisto 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Webkul Software Bagisto是印度Webkul Software公司的一套开源的电子商务框架。 Webkul Software Bagisto 2.3.8之前版本存在安全漏洞,该漏洞源于未正确处理电子表格公式字符,可能导致数据渗漏和远程命令执行。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-62417 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-62417 的情报信息
四、漏洞 CVE-2025-62417 的评论

暂无评论

发表评论