CVE-2025-22131

Nome do Software Vulnerável e Versões Afetadas PhpSpreadsheet (versões afetadas não especificadas)

Descrição A questão está relacionada a uma vulnerabilidade de Cross-Site Scripting (XSS) no código que traduz arquivos XLSX em representações HTML e as exibe na resposta. Isso ocorre ao gerar HTML a partir de um arquivo XLSX contendo múltiplas planilhas, onde os nomes das planilhas não são sanitizados, permitindo que um atacante execute código JavaScript. O impacto desta vulnerabilidade pode variar de incômodo ao comprometimento completo da conta, incluindo divulgação de cookies de sessão do usuário, redirecionamento de usuários para outras páginas, modificação de conteúdo, download automático de arquivos maliciosos e solicitação de acesso à geolocalização ou câmera da vítima.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.