CVE-2020-7776

phpoffice/phpspreadsheet versões 0.0.0 e anteriores

A biblioteca está vulnerável a XSS ao gerar uma saída HTML a partir de um arquivo do Excel, ao adicionar um comentário em qualquer célula. A causa principal desse problema está no gerador de HTML, onde os comentários do usuário são concatenados como parte de um link e isso é retornado como HTML.

Para as versões 0.0.0 e anteriores do phpoffice/phpspreadsheet, atualize para uma versão que inclua a correção disponível no commit 0ed5b800be2136bcb8fa9c1bdf59abc957a98845 no branch master. Como solução temporária, considere desativar a funcionalidade do gerador de HTML até que um patch esteja disponível. Restrinja o acesso ao recurso de saída em HTML para minimizar o risco de exploração. Evite usar comentários de usuário em arquivos do Excel que serão convertidos para HTML até que o problema seja resolvido.