CycloneDX Sunshine 安全漏洞CVE-2025-52386

CycloneDX 是由 OWASP （ 开放式网络应用安全项目 ）开发的一种标准化软件物料清单格式，用于描述软件组件的依赖关系和安全属性。

一、基本情况

CycloneDX 是用来描述机器可读软件物料清单（SBOM）标准，作为轻量级软件成分描述标准，旨在提高供应链中软件安全性和透明度。

CycloneDX 提供一个用于集成的生态系统，包括多种编程语言的实现，及允许通过适当的签名和验证来分析和更改 SBOM 的命令行工具。

CycloneDX促进了不同工具之间的互操作性，使得安全漏洞的识别和响应更加高效，CycloneDX Sunshine是CycloneDX开源可视化工具。

栋科技漏洞库关注到CycloneDX Sunshine v0.9版本存在一个安全漏洞，该漏洞现已被追踪为CVE-2025-52386，漏洞的CVSS 3.1评分5.4。

二、漏洞分析

CVE-2025-52386漏洞是CycloneDX Sunshine v0.9版本存在的安全漏洞，漏洞源于处理JSON文件时未验证公式，可能导致CSV注入攻击。

JSON文件被上传到SBOM数据可视化应用程序，应用程序还可导出为csv文件，在参数中传递的值不会对formula injection注入筛选净化。

CSV Formula Injection（CSV注入）也称公式注入，是一种安全漏洞，网站生成CSV文件时未对用户输入进行验证，导致恶意数据被嵌入。

当使用Excel等表格软件打开文件时，以"="开头的单元格会被识别为公式，可能被用于执行系统命令或触发其他攻击。

三、POC概念验证

1、下载JSON文件

管理员已设置登录后刷新可查看

2、导航到应用程序页面并提交cycloneDX JSON文件。

3、使用应用程序导出功能将其导出为CSV文件。

4、打开CSV文件，允许所有弹出窗口，然后执行我们的有效载荷。

5、修正删除恶意输入，如“=”、“+”、“-”和“@”。通过在恶意内容之前插入一个引号，可以避免在MS Excel中执行操作。

四、影响范围

CycloneDX Sunshine <= v0.9

五、修复建议

CycloneDX Sunshine > v0.9

六、参考链接

管理员已设置登录后刷新可查看