Описание
Уязвимость функции generateNavigation() PHP-библиотеки PhpSpreadsheet связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, проводить межсайтовые сценарные атаки
Вендор
Сообщество свободного программного обеспечения
Наименование ПО
PhpSpreadsheet
Версия ПО
от 3.0.0 до 3.8.0 (PhpSpreadsheet)
до 1.29.8 (PhpSpreadsheet)
от 2.0.0 до 2.1.7 (PhpSpreadsheet)
от 2.2.0 до 2.3.6 (PhpSpreadsheet)
Тип ПО
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,3)
Средний уровень опасности (оценка CVSS 4.0 составляет 5,1)
Возможные меры по устранению уязвимости
Использование рекомендаций производителя:
https://github.com/PHPOffice/PhpSpreadsheet/security/advisories/GHSA-79xx-vf93-p7cx
https://github.com/PHPOffice/PhpSpreadsheet/releases/tag/3.8.0
https://github.com/PHPOffice/PhpSpreadsheet/releases/tag/2.3.6
https://github.com/PHPOffice/PhpSpreadsheet/releases/tag/2.1.7
https://github.com/PHPOffice/PhpSpreadsheet/releases/tag/1.29.8
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует в открытом доступе
Информация об устранении
Уязвимость устранена
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 19%
0.00061
Низкий
4.3 Medium
CVSS3
5 Medium
CVSS2
Связанные уязвимости
CVSS3: 6.1
nvd
около 1 года назад
PhpSpreadsheet is a PHP library for reading and writing spreadsheet files. Cross-Site Scripting (XSS) vulnerability in the code which translates the XLSX file into a HTML representation and displays it in the response.
CVSS3: 6.1
github
около 1 года назад
Cross-Site Scripting (XSS) vulnerability in generateNavigation() function in PhpSpreadsheet
EPSS
Процентиль: 19%
0.00061
Низкий
4.3 Medium
CVSS3
5 Medium
CVSS2