CVE-2024-45291

Versões do PHPSpreadsheet anteriores à 1.29.2

Versões do PHPSpreadsheet anteriores à 2.1.1

Versões do PHPSpreadsheet anteriores à 2.3.0

A vulnerabilidade permite que um invasor crie um arquivo XLSX que vincule imagens de caminhos arbitrários. Quando a incorporação de imagens estiver habilitada no HTML Writer, esses arquivos serão incluídos na saída como URLs data:, independentemente do tipo de arquivo. Além disso, URLs podem ser usados para incorporação, resultando em uma vulnerabilidade de falsificação de solicitação do lado do servidor (Server-Side Request Forgery). Um invasor pode ler arquivos arbitrários no servidor e realizar solicitações HTTP GET arbitrárias. Observe que qualquer wrapper de protocolo PHP pode ser usado, o que significa que, se, por exemplo, o wrapper expect:// estiver habilitado, também é possível a execução remota de código.

Para versões do PHPSpreadsheet anteriores à 1.29.2, atualize para a versão 1.29.2 ou posterior.

Para versões do PHPSpreadsheet anteriores à 2.1.1, atualize para a versão 2.1.1 ou posterior.

Para versões do PHPSpreadsheet anteriores à 2.3.0, atualize para a versão 2.3.0 ou posterior.

Como solução temporária, considere desativar a incorporação de imagens no gerador de HTML definindo $writer->setEmbedImages(false); até que um patch esteja disponível.

Restrinja o acesso à função file get contents() para minimizar o risco de exploração.

Evite usar o wrapper de protocolo php:// no atributo Target do elemento Relationship no arquivo xl/drawings/ rels/drawing1.xml.rels.