Описание
PhpOffice/PhpSpreadsheet is a pure PHP library for reading and writing spreadsheet files. Prior to versions 1.30.0, 2.1.12, 2.4.0, 3.10.0, and 5.0.0, SSRF can occur when a processed HTML document is read and displayed in the browser. The vulnerability lies in the setPath method of the PhpOffice\PhpSpreadsheet\Worksheet\Drawing class, where a crafted string from the user is passed to the HTML reader. This issue has been patched in versions 1.30.0, 2.1.12, 2.4.0, 3.10.0, and 5.0.0.
Ссылки
EPSS
Процентиль: 26%
0.00092
Низкий
Дефекты
CWE-918
Связанные уязвимости
github
6 месяцев назад
PhpSpreadsheet vulnerable to SSRF when reading and displaying a processed HTML document in the browser
CVSS3: 7.5
fstec
около 1 года назад
Уязвимость функции setPath() PHP-библиотеки PhpSpreadsheet, позволяющая нарушителю осуществить SSRF-атаку
EPSS
Процентиль: 26%
0.00092
Низкий
Дефекты
CWE-918