CVE-2024-56408

Versões do PhpSpreadsheet anteriores à 3.7.0, 2.3.5, 2.1.6 e 1.29.7

O problema está relacionado à falta de sanitização no arquivo /vendor/phpoffice/phpspreadsheet/samples/Engineering/Convert-Online.php, o que pode levar a um ataque de cross-site scripting. Um invasor pode explorar essa vulnerabilidade enviando uma solicitação especialmente criada para o cenário vulnerável, permitindo-lhe executar código JavaScript arbitrário no navegador do cliente. A variável quantity é exibida sem sanitização, possibilitando que um invasor prepare um formulário HTML especial que será enviado automaticamente para o cenário vulnerável.

Para versões anteriores à 3.7.0, 2.3.5, 2.1.6 e 1.29.7, atualize para a versão corrigida 3.7.0, 2.3.5, 2.1.6 ou 1.29.7 para resolver o problema.

Como solução temporária, considere sanitizar a variável quantity no arquivo /vendor/phpoffice/phpspreadsheet/samples/Engineering/Convert-Online.php para evitar ataques de cross-site scripting.