Phpoffice · Phpoffice Math · CVE-2025-48882
**Nome do Software Vulnerável e Versões Afetadas**
Versões do PHPOffice Math anteriores à 0.3.0
**Descrição**
O problema permite que um atacante crie um arquivo XML especial que, quando processado, carrega entidades externas, possibilitando a leitura de arquivos locais do servidor. Isso se deve ao uso da extensão `libxml` com a flag `LIBXML DTDLOAD` sem filtragem adicional. A vulnerabilidade aplica-se apenas à leitura de arquivos no formato MathML.
**Recomendações**
Para versões anteriores à 0.3.0, atualize para a versão 0.3.0 ou posterior para corrigir a vulnerabilidade. Como solução temporária, considere filtrar entidades externas através da implementação de uma função personalizada de carregador de entidades externas, como o uso de `libxml set external entity loader`, para minimizar o risco de exploração.