JVNDB-2026-005274

hustojにおけるCSV ファイル内の数式要素の中和に関する脆弱性

hustojは、ACM/ICPCおよびNOIPのトレーニング向けにPHP/C++/MySQL/Linuxをベースとしたオープンソースのオンラインジャッジです。すべてのバージョンにおいて、コンテストランキングのエクスポート機能（contestrank.xls.phpおよびadmin/ranklist_export.php）を通じたCSVインジェクション（フォーミュラインジェクション）の脆弱性が存在します。このアプリケーションは、ユーザーから提供された入力（特に「ニックネーム」フィールド）を.xlsファイルにエクスポートする前に適切にサニタイズしていません（このファイルはHTMLテーブルとしてレンダリングされますが、Excelで開かれます）。悪意のあるユーザーがニックネームにExcelの数式を設定した場合、管理者がランキングリストをMicrosoft Excelでエクスポートして開くと、その数式が実行されてしまいます。これにより、管理者のマシン上で任意のコマンド実行（RCE）やデータの漏洩が発生する可能性があります。公開時点では修正が提供されていません。

hustoj

• hustoj 26.01.31 およびそれ以前

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。
さらに、当該ソフトウェアが完全に停止する可能性があります。
そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub Advisory Database : Stored CSV Injection (Formula Injection) in Contest Rank Export Leading to RCE Risk  Advisory  zhblue/hustoj  GitHub

1. CSV ファイル内の数式要素の不適切な中和(CWE-1236) [その他]

1. CVE-2026-23873

1. National Vulnerability Database (NVD) : CVE-2026-23873

• [2026年03月02日]
    掲載