BDU:2025-13241

Опубликовано: 15 янв. 2025

Источник: fstec

CVSS3: 6.4

CVSS2: 5.5

EPSS Низкий

Описание

Уязвимость PHP-библиотеки PhpSpreadsheet связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю. действующему удаленно, выполнить произвольный JavaScript-код

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

PhpSpreadsheet

Версия ПО

от 3.0.0 до 3.9.0 (PhpSpreadsheet)

до 1.29.9 (PhpSpreadsheet)

от 2.2.0 до 2.3.7 (PhpSpreadsheet)

от 2.0.0 до 2.1.8 (PhpSpreadsheet)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,5)

Средний уровень опасности (базовая оценка CVSS 3.1 составляет 6,4)

Средний уровень опасности (оценка CVSS 4.0 составляет 4,8)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:

https://github.com/PHPOffice/PhpSpreadsheet/security/advisories/GHSA-r57h-547h-w24f

Статус уязвимости

Подтверждена в ходе исследований

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2025-23210
CVE

EPSS

Процентиль: 52%

0.00294

Низкий

6.4 Medium

CVSS3

5.5 Medium

CVSS2

Связанные уязвимости

CVE-2025-23210

nvd

около 1 года назад

phpoffice/phpspreadsheet is a pure PHP library for reading and writing spreadsheet files. Affected versions have been found to have a Bypass of the Cross-site Scripting (XSS) sanitizer using the javascript protocol and special characters. This issue has been addressed in versions 3.9.0, 2.3.7, 2.1.8, and 1.29.9. Users are advised to upgrade. There are no known workarounds for this vulnerability.

GHSA-r57h-547h-w24f

CVSS3: 5.4

github