CVE-2025-23210

Nome do Software Vulnerável e Versões Afetadas Versões do phpoffice/phpspreadsheet anteriores a 1.29.9 Versões do phpoffice/phpspreadsheet anteriores a 2.1.8 Versões do phpoffice/phpspreadsheet anteriores a 2.3.7 Versões do phpoffice/phpspreadsheet anteriores a 3.9.0

Descrição O problema está relacionado a um bypass do sanitizador de Cross-site Scripting (XSS) no phpoffice/phpspreadsheet, uma biblioteca PHP pura para leitura e escrita de arquivos de planilha. Este bypass é alcançado utilizando o protocolo JavaScript e caracteres especiais. Um atacante pode usar caracteres especiais para gerar um link HTML que, quando clicado, executa código JavaScript arbitrário no navegador. O componente vulnerável é a classe PhpOfficePhpSpreadsheetWriterHtml, especificamente o método generateRow. As condições de exploração envolvem um usuário visualizando um arquivo XML gerado especialmente.

Recomendações Para versões anteriores a 1.29.9, atualize para a versão 1.29.9 ou posterior. Para versões anteriores a 2.1.8, atualize para a versão 2.1.8 ou posterior. Para versões anteriores a 2.3.7, atualize para a versão 2.3.7 ou posterior. Para versões anteriores a 3.9.0, atualize para a versão 3.9.0 ou posterior. Como solução temporária, considere a sanitização adicional de caracteres especiais em strings para minimizar o risco de exploração.