Libapache-poi-java
Уязвимости
9
Эксплуатируемые
0
Макс. CVSS
7.5
Макс. EPSS
0.13258
Распределение по критичности
Критический
0
Высокий
1
Средний
7
Низкий
1
Также сопоставлено как (исходные строки): libapache-poi-java
Топ уязвимостей
CVE-2016-5000Пример XLSX2CSV в Apache POI до версии 3.14 позволяет удаленным злоумышленникам читать произвольные файлы через специально созданный документ OpenXML, содержащий объявление внешней сущности в сочетании со ссылкой на сущность, что связано с проблемой XML External Entity (XXE).
CVE-2017-5644Apache POI в версиях до выпуска 3.15 позволяет удаленным злоумышленникам вызывать отказ в обслуживании (потребление ЦП) с помощью специально созданного файла OOXML, также известного как атака XML Entity Expansion (XEE).
CVE-2025-31672Уязвимость Improper Input Validation в Apache POI затрагивает парсинг файлов формата OOXML, таких как xlsx, docx и pptx. Эти форматы файлов в основном являются zip-файлами, и возможно добавление записей zip с повторяющимися именами (включая путь) в zip. В этом случае продукты, читающие пострадавший файл, могут прочитать разные данные, поскольку одна из записей zip с повторяющимся именем выбирается вместо другой. Рекомендуется обновиться до версии poi-ooxml 5.4.0, которая исправляет эту проблему [1][2].
Источники:
- [1] https://bz.apache.org/bugzilla/show_bug.cgi?id=69620
- [2] https://lists.apache.org/thread/k14w8vcjqy4h34hh5kzldko78kpylkq5
CVE-2017-12626Apache POI в версиях, предшествующих выпуску 3.17, уязвим для атак типа "отказ в обслуживании": 1) Бесконечные циклы при анализе специально созданных WMF, EMF, MSG и макросов (ошибки POI 61338 и 61294) и 2) Исключения нехватки памяти при анализе специально созданных DOC, PPT и XLS (ошибки POI 52372 и 61295).
CVE-2019-12415В Apache POI до 4.1.0 при использовании инструмента XSSFExportToXml для преобразования предоставленных пользователем документов Microsoft Excel специально созданный документ может позволить злоумышленнику читать файлы из локальной файловой системы или из внутренних сетевых ресурсов через обработку XML External Entity (XXE).
CVE-2014-3574Apache POI до версий 3.10.1 и 3.11.x до версии 3.11-beta2 позволяет удаленным злоумышленникам вызывать отказ в обслуживании (потребление ЦП и сбой) через специально созданный OOXML-файл, также известный как атака XML Entity Expansion (XEE).
CVE-2014-3529Настройка OPC SAX в Apache POI до 3.10.1 позволяет удаленным злоумышленникам читать произвольные файлы через файл OpenXML, содержащий объявление XML external entity в сочетании со ссылкой на entity, что связано с проблемой XML External Entity (XXE).
CVE-2014-9527HSLFSlideShow в Apache POI до версии 3.11 позволяет удаленным злоумышленникам вызывать отказ в обслуживании (бесконечный цикл и взаимная блокировка) через специально созданный PPT-файл.
CVE-2022-26336Недостаток в пакете HMEF poi-scratchpad (Apache POI) позволяет злоумышленнику вызвать исключение Out of Memory. Этот пакет используется для чтения файлов TNEF (Microsoft Outlook и Microsoft Exchange Server). Если приложение использует poi-scratchpad для анализа файлов TNEF и приложение позволяет ненадежным пользователям поставлять их, то тщательно разработанный файл может вызвать исключение Out of Memory. Эта проблема затрагивает poi-scratchpad версии 5.2.0 и более ранние версии. Пользователям рекомендуется обновиться до poi-scratchpad 5.2.1.