CVE-2024-56412

Опубликовано: 03 янв. 2025

Источник: nvd

CVSS3: 5.4

EPSS Низкий

Описание

PhpSpreadsheet is a PHP library for reading and writing spreadsheet files. Versions prior to 3.7.0, 2.3.5, 2.1.6, and 1.29.7 are vulnerable to bypass of the cross-site scripting sanitizer using the javascript protocol and special characters. An attacker can use special characters, so that the library processes the javascript protocol with special characters and generates an HTML link. Versions 3.7.0, 2.3.5, 2.1.6, and 1.29.7 contain a patch for the issue.

Ссылки

https://github.com/PHPOffice/PhpSpreadsheet/commit/45052f88e04c735d56457a8ffcdc40b2635a028e
Patch
https://github.com/PHPOffice/PhpSpreadsheet/security/advisories/GHSA-q9jv-mm3r-j47r
Exploit
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:phpoffice:phpspreadsheet:*:*:*:*:*:*:*:*

Версия до 1.29.7 (исключая)

cpe:2.3:a:phpoffice:phpspreadsheet:*:*:*:*:*:*:*:*

Версия от 2.0.0 (включая) до 2.1.6 (исключая)

cpe:2.3:a:phpoffice:phpspreadsheet:*:*:*:*:*:*:*:*

Версия от 2.2.0 (включая) до 2.3.5 (исключая)

cpe:2.3:a:phpoffice:phpspreadsheet:*:*:*:*:*:*:*:*

Версия от 3.0.0 (включая) до 3.7.0 (исключая)

EPSS

Процентиль: 44%

0.00215

Низкий

5.4 Medium

CVSS3

Дефекты

CWE-79

Связанные уязвимости

GHSA-q9jv-mm3r-j47r

CVSS3: 5.4

github

около 1 года назад

PhpSpreadsheet allows bypass XSS sanitizer using the javascript protocol and special characters

BDU:2025-00508

CVSS3: 5.4

fstec

около 1 года назад

Уязвимость функции generateRow() PHP-библиотеки PhpSpreadsheet, позволяющая нарушителю проводить межсайтовые сценарные атаки

EPSS

Процентиль: 44%

0.00215

Низкий

5.4 Medium

CVSS3

Дефекты

CWE-79