CVE-2025-48882

Nome do Software Vulnerável e Versões Afetadas Versões do PHPOffice Math anteriores à 0.3.0

Descrição O problema permite que um atacante crie um arquivo XML especial que, quando processado, carrega entidades externas, possibilitando a leitura de arquivos locais do servidor. Isso se deve ao uso da extensão libxml com a flag LIBXML DTDLOAD sem filtragem adicional. A vulnerabilidade aplica-se apenas à leitura de arquivos no formato MathML.

Recomendações Para versões anteriores à 0.3.0, atualize para a versão 0.3.0 ou posterior para corrigir a vulnerabilidade. Como solução temporária, considere filtrar entidades externas através da implementação de uma função personalizada de carregador de entidades externas, como o uso de libxml set external entity loader, para minimizar o risco de exploração.