PT-2024-31397 · Phpoffice · Phpspreadsheet
Emilvirkki
·
Publicado
2024-08-28
·
Atualizado
2024-09-04
·
CVE-2024-45046
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do PHPSpreadsheet anteriores à 2.1.0
Descrição
O problema diz respeito ao componente
PhpOfficePhpSpreadsheetWriterHtml, que não consegue sanitizar informações de estilo da planilha, como nomes de fontes. Isso permite que um invasor injete JavaScript arbitrário na página, levando potencialmente à apropriação total da sessão do usuário ao visualizar arquivos de planilha como HTML.Recomendações
Para versões anteriores à 2.1.0, atualize para a versão 2.1.0 para resolver o problema.
Como solução temporária, considere desativar o componente
PhpOfficePhpSpreadsheetWriterHtml até que um patch esteja disponível.Restrinja o acesso ao componente vulnerável
PhpOfficePhpSpreadsheetWriterHtml para minimizar o risco de exploração.Evite usar a biblioteca PHPSpreadsheet afetada para visualizar arquivos de planilha como HTML até que o problema seja resolvido.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Phpspreadsheet