MaxKB является помощником AI с открытым исходным кодом для предприятий. В версиях 2.7.1 и ниже функция экспорта чата уязвима для неправильн…

MaxKB является помощником AI с открытым исходным кодом для предприятий. В версиях 2.7.1 и ниже функция экспорта чата уязвима для неправильную нейтрализацию элементов формулы в файле CSV. Когда администратор экспортирует историю чата приложения в файл Excel (.xlsx) через конечную точку /admin/api/workspace_id}/application/{application_id}/cject/export, строки, начинающиеся с символов формулы, пишутся напрямую без надлежащей дезинфекции. Открытие этого файла в приложениях электронных таблиц, таких как Microsoft Excel, может привести к исполнению произвольного кода (RCE) на рабочей станции администратора через Dynamic Data Exchange (DDE). Проблема представляет собой вариант CVE-2025-4546, который исправил точно такой же шаблон в приложениях/навыках данных/сериализаторах/документ-секретаре/документалийзерах, но пропустил поглотитель экспорта чата приложений. Эта проблема исправлена в версии 2.8.0.