MaxKB — это ИИ-помощник с открытым исходным кодом для предприятий. В версиях 2.7.1 и ниже функция экспорта чата уязвима из-за неправильной нейтрализации элементов формулы в файле CSV. Когда администратор экспортирует историю чата приложения в файл Excel (.xlsx) через конечную точку /admin/api/workspace/{workspace_id}/application/{application_id}/chat/export, строки, начинающиеся с символов формулы, записываются напрямую без надлежащей очистки.
Открытие этого файла в приложениях для работы с электронными таблицами, таких как Microsoft Excel, может привести к выполнению произвольного кода (RCE) на рабочей станции администратора через динамический обмен данными (DDE). Проблема связана с вариантом CVE-2025-4546, который исправил тот же самый шаблон в apps/dataset/serializers/document_serializers.py, но пропустил приемник экспорта чата приложения. Эта проблема исправлена в версии 2.8.0.
Показать оригинальное описание (EN)
MaxKB is an open-source AI assistant for enterprise. In versions 2.7.1 and below, the chat export feature is vulnerable to Improper Neutralization of Formula Elements in a CSV File. When an administrator exports the application chat history to an Excel file (.xlsx) via the /admin/api/workspace/{workspace_id}/application/{application_id}/chat/export endpoint, strings starting with formula characters are written directly without proper sanitization. Opening this file in spreadsheet applications like Microsoft Excel can lead to Arbitrary Code Execution (RCE) on the administrator's workstation via Dynamic Data Exchange (DDE). The issue is a variant of CVE-2025-4546, which fixed the exact same pattern in apps/dataset/serializers/document_serializers.py but missed the application chat export sink. This issue has been fixed in version 2.8.0.
Характеристики атаки
Последствия
Строка CVSS v4.0