Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

debian логотип

CVE-2024-23525

Опубликовано: 18 янв. 2024
Источник: debian

Описание

The Spreadsheet::ParseXLSX package before 0.30 for Perl allows XXE attacks because it neglects to use the no_xxe option of XML::Twig.

Пакеты

ПакетСтатусВерсия исправленияРелизТип
libspreadsheet-parsexlsx-perlfixed0.31-1package
libspreadsheet-parsexlsx-perlfixed0.27-3+deb12u2bookwormpackage
libspreadsheet-parsexlsx-perlfixed0.27-2.1+deb11u2bullseyepackage

Примечания

  • https://gist.github.com/phvietan/d1c95a88ab6e17047b0248d6bf9eac4a

  • https://github.com/MichaelDaum/spreadsheet-parsexlsx/issues/10

  • Isolated changes: https://github.com/MichaelDaum/spreadsheet-parsexlsx/commit/1d55f90caf433c7442e5be21a1849af2b5522ffe#diff-0702489aae2d242fa44a345ab28b021c884c51a87ba376b835f44e3474dc2385L1175-L1180 (0.30)

Связанные уязвимости

ubuntu логотип

CVE-2024-23525

CVSS3: 6.5
ubuntu
около 2 лет назад

The Spreadsheet::ParseXLSX package before 0.30 for Perl allows XXE attacks because it neglects to use the no_xxe option of XML::Twig.

nvd логотип

CVE-2024-23525

CVSS3: 6.5
nvd
около 2 лет назад

The Spreadsheet::ParseXLSX package before 0.30 for Perl allows XXE attacks because it neglects to use the no_xxe option of XML::Twig.

github логотип

GHSA-cxjh-j6f8-vrmf

CVSS3: 6.5
github
около 2 лет назад

The Spreadsheet::ParseXLSX package before 0.30 for Perl allows XXE attacks because it neglects to use the no_xxe option of XML::Twig.

fstec логотип

BDU:2024-01575

CVSS3: 6.5
fstec
около 2 лет назад

Уязвимость библиотеки обработки XLSX-файлов Spreadsheet::ParseXLSX для языка программирования Perl, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю проводить XXE-атаки