CVE-2026-34084

Nome do Software Vulnerável e Versões Afetadas PhpSpreadsheet versões anteriores a 1.30.3 PhpSpreadsheet versões 2.0.0 a 2.1.14 PhpSpreadsheet versões 2.2.0 a 2.4.3 PhpSpreadsheet versões 3.3.0 a 3.10.3 PhpSpreadsheet versões 4.0.0 a 5.5.0

Description Quando o argumento de nome de arquivo passado para a função IOFactory::load() é controlado pelo usuário, um invasor pode fornecer um caminho de wrapper de stream do PHP que ignora a verificação is file() dentro da função File::assertFile(). O uso do wrapper phar:// aciona a desserialização de metadados PHAR, o que pode levar à execução remota de código se houver uma cadeia de gadgets adequada na aplicação. Além disso, os wrappers ftp:// e ssh2.sftp:// podem ser explorados para realizar server-side request forgery (SSRF), uma técnica onde o invasor força o servidor a fazer requisições para um local não pretendido.

Recommendations Atualizar para a versão 1.30.3 para versões anteriores a 1.30.3. Atualizar para a versão 2.1.15 para versões 2.0.0 a 2.1.14. Atualizar para a versão 2.4.4 para versões 2.2.0 a 2.4.3. Atualizar para a versão 3.10.4 para versões 3.3.0 a 3.10.3. Atualizar para a versão 5.6.0 para versões 4.0.0 a 5.5.0. Como mitigação temporária, garanta que o argumento de nome de arquivo passado para IOFactory::load() não contenha wrappers de stream do PHP, validando que o esquema da URL seja nulo ou tenha comprimento de um caractere, ou processando o caminho com realpath() antes da verificação.