Phpspreadsheet
Уязвимости
26
Эксплуатируемые
0
Макс. CVSS
9.2
Макс. EPSS
0.07791
Распределение по критичности
Критический
1
Высокий
13
Средний
12
Низкий
0
Затронутые диапазоны версий
3.0.0–3.9.0< 1.16.0< 1.29.1< 1.29.2< 1.29.4< 1.29.7< 1.29.8< 1.30.3< 1.30.4< 1.8.0< 2.1.0< 2.2.1≤ 1.5.0
Также сопоставлено как (исходные строки): phpspreadsheet
Топ уязвимостей
CVE-2026-34084PhpSpSpreadsheet - это библиотека для чтения и записи файлов электронных таблиц. В версиях 1.30.2 и ранее, 2,0 - 2.1.14, 2.2.0-2.4.3, 3.3,0-3.10 и 4.0.0-5.5.0, когда аргумент имени файла в IOFactory:load() контролируется пользователем, злоумышленник может указать путь обертки потока PHP (например, phar://, ftp:// или ssh2.sftp://), который проходит is_file. Обертка phar:// запускает дезериаизацию метаданных PHAR, что может привести к удаленному исполнению кода, если в приложении доступна подходящая цепочка гаджетов. Обертки ftp:// и ssh2.sftp:// могут использоваться для подделки запроса на стороне сервера. Эта проблема была исправлена в версиях 1.30.3, 2.1.15, 2.4.4, 3.10.4 и 5.6.0.
CVE-2024-45291PHPSpreadsheet — это библиотека на чистом PHP для чтения и записи файлов электронных таблиц. Злоумышленник может создать XLSX-файл, который связывает изображения из произвольных путей. Когда в HTML-модуле записи включено встраивание изображений с помощью `$writer->setEmbedImages(true);`, эти файлы будут включены в вывод в виде URL-адресов `data:`, независимо от типа файла. Также для встраивания можно использовать URL-адреса, что приводит к уязвимости Server-Side Request Forgery. Когда включено встраивание изображений, злоумышленник может читать произвольные файлы на сервере и выполнять произвольные HTTP GET-запросы. Обратите внимание, что можно использовать любые оболочки протокола PHP, а это означает, что, если, например, оболочка `expect://` включена, также возможно удаленное выполнение кода. Эта проблема была решена в версиях 1.29.2, 2.1.1 и 2.3.0. Всем пользователям рекомендуется обновиться. Для этой уязвимости нет известных обходных путей.
CVE-2019-12331PHPOffice PhpSpreadsheet до версии 1.8.0 имеет проблему XXE. XmlScanner декодирует sheet1.xml из .xlsx в utf-8, если в заголовке объявлено что-то отличное от UTF-8. Это была мера безопасности для предотвращения CVE-2018-19277, но исправление недостаточное. Путем двойного кодирования полезной нагрузки xml в utf-7 можно обойти проверку строки «<!ENTITY», что позволит осуществить атаку xml external entity processing (XXE).
CVE-2018-19277securityScan() в PHPOffice PhpSpreadsheet до версии 1.5.0 позволяет обойти механизмы защиты для XXE через кодировку UTF-7 в файле .xlsx.
CVE-2024-56409PhpSpreadsheet — это PHP-библиотека для чтения и записи файлов электронных таблиц. Версии до 3.7.0, 2.3.5, 2.1.6 и 1.29.7 уязвимы для неавторизованного отраженного межсайтового скриптинга в файле `Currency.php`. Используя скрипт `/vendor/phpoffice/phpspreadsheet/samples/Wizards/NumberFormat/Currency.php`, злоумышленник может выполнить межсайтовую скриптовую атаку. Версии 3.7.0, 2.3.5, 2.1.6 и 1.29.7 содержат исправление этой проблемы.
CVE-2024-56408PhpSpreadsheet — это PHP-библиотека для чтения и записи файлов электронных таблиц. Версии до 3.7.0, 2.3.5, 2.1.6 и 1.29.7 не имеют очистки в файле `/vendor/phpoffice/phpspreadsheet/samples/Engineering/Convert-Online.php`, что приводит к возможности межсайтовой скриптовой атаки. Версии 3.7.0, 2.3.5, 2.1.6 и 1.29.7 содержат исправление этой проблемы.
CVE-2024-56366PhpSpreadsheet — это библиотека PHP для чтения и записи файлов электронных таблиц. Версии до 3.7.0, 2.3.5, 2.1.6 и 1.29.7 уязвимы для несанкционированного отраженного межсайтового скриптинга в файле `Accounting.php`. Используя скрипт `/vendor/phpoffice/phpspreadsheet/samples/Wizards/NumberFormat/Accounting.php`, злоумышленник может выполнить атаку межсайтового скриптинга. Версии 3.7.0, 2.3.5, 2.1.6 и 1.29.7 содержат исправление этой проблемы.
CVE-2024-56365PhpSpreadsheet — это библиотека PHP для чтения и записи файлов электронных таблиц. Версии до 3.7.0, 2.3.5, 2.1.6 и 1.29.7 уязвимы для несанкционированного отраженного межсайтового скриптинга в конструкторе класса `Downloader`. Используя скрипт `/vendor/phpoffice/phpspreadsheet/samples/download.php`, злоумышленник может выполнить атаку межсайтового скриптинга. Версии 3.7.0, 2.3.5, 2.1.6 и 1.29.7 содержат исправление этой проблемы.
CVE-2026-40902PhpSpSpreadsheet - это чистая PHP-библиотека для чтения и записи файлов электронных таблиц. До 1.30.4, 2.1.16, 2.4.5, 3.10.5 и 5.7.0 метод считывателя XLSX ColumnAndRowAttributes::readRowAttributes() считывает номера строк из атрибутов XML без проверки их в соответствии с пределом максимальных строковых строк электронных таблиц (AddressRange::MAX_ROW = 1,048,576). Злоумышленник может создать минимальный файл XLSX (~1.6KB), содержащий элемент <row r="999999999/>, который надувает кэшированныйHighestRow до 999,999,999, в результате чего любая последующая итерация ряда пытается ~ 1 миллиард циклов и выхлопных ресурсов процессора. Эта уязвимость зафиксирована в пунктах 1.30.4, 2.1.16, 2.4.5, 3.10.5 и 5.7.0.
CVE-2026-40863PhpSpSpreadsheet - это чистая PHP-библиотека для чтения и записи файлов электронных таблиц. До 1.30.4, 2.1.16, 2.4.5, 3.10.5 и 5.7.0 считыватель SpreadsheetML XML (Reader\Xml) не проверяет атрибут строки ss:Index по отношению к максимально допустимому количеству строки (AddressRange::MAX_ROW = 1,048,576). Злоумышленник может создать файл SpreadsheetML XML с ss:Index="9999999999" на элементе <Row>, который раздувает внутренний кэшированныйHighestRow до ~1 миллиарда. Любой последующий звонок, чтобы получить RowIterator() без явного конечного ряда, будет пытаться итерировать ~ 1 миллиард рядов, вызывая истощение процессора и отказ в обслуживании. Эта уязвимость зафиксирована в пунктах 1.30.4, 2.1.16, 2.4.5, 3.10.5 и 5.7.0.
CVE-2024-48917PhpSpreadsheet — это библиотека PHP для чтения и записи файлов электронных таблиц. Класс `XmlScanner` имеет метод сканирования, который должен предотвращать атаки XXE. Однако при обходе ранее зарегистрированного `CVE-2024-47873` регулярные выражения из метода `findCharSet`, который используется для определения текущей кодировки, можно обойти, используя полезную нагрузку в кодировке UTF-7 и добавив в конце файла комментарий со значением `encoding="UTF-8"` с `"`, которое соответствует первому регулярному выражению, так что `encoding='UTF-7'` с одинарными кавычками `'` в заголовке XML не соответствует второму регулярному выражению. Злоумышленник может обойти санитайзер и осуществить атаку XML external entity. Версии 1.9.4, 2.1.3, 2.3.2 и 3.4.0 устраняют эту проблему.
CVE-2024-47873PhpSpreadsheet — это библиотека PHP для чтения и записи файлов электронных таблиц. Класс XmlScanner имеет метод сканирования, который должен предотвращать атаки XXE. Однако до версий 1.9.4, 2.1.3, 2.3.2 и 3.4.0 регулярные выражения, используемые в методе `scan` и методе findCharSet, можно обойти, используя UCS-4 и угадывание кодировки. Злоумышленник может обойти средство очистки и добиться атаки XML external entity. Версии 1.9.4, 2.1.3, 2.3.2 и 3.4.0 исправляют эту проблему.
CVE-2024-45293PHPSpreadsheet — это библиотека на чистом PHP для чтения и записи файлов электронных таблиц. Сканер безопасности, отвечающий за предотвращение атак XXE в XLSX-ридере, можно обойти, слегка изменив структуру XML, используя пробелы. На серверах, которые позволяют пользователям загружать свои собственные листы Excel (XLSX), файлы сервера и конфиденциальная информация могут быть раскрыты путем предоставления специально созданного листа. Функция сканирования безопасности в src/PhpSpreadsheet/Reader/Security/XmlScanner.php содержит ошибочную проверку кодировки XML для получения кодировки XML входного файла в функции toUtf8. Функция ищет кодировку XML с помощью определенного регулярного выражения, которое ищет `encoding="*"` и/или `encoding='*'`, если не найдено, то по умолчанию используется кодировка UTF-8, которая обходит логику преобразования. Эту логику можно использовать для передачи полезной нагрузки XXE в кодировке UTF-7, используя пробел до или после = в определении атрибута. Раскрытие конфиденциальной информации через XXE на сайтах, которые позволяют пользователям загружать свои собственные электронные таблицы Excel и анализировать их с помощью парсера Excel PHPSpreadsheet. Эта проблема была решена в версиях 1.29.1, 2.1.1 и 2.3.0. Всем пользователям рекомендуется обновиться. Для этой уязвимости нет известных обходных путей.
CVE-2024-45290PHPSpreadsheet — это библиотека на чистом PHP для чтения и записи файлов электронных таблиц. Злоумышленник может создать XLSX-файл, который связывает медиафайлы с внешних URL-адресов. При открытии XLSX-файла PhpSpreadsheet извлекает размер и тип изображения, считывая содержимое файла, если предоставленный путь является URL-адресом. Используя специально созданные URL-адреса `php://filter`, злоумышленник может раскрыть содержимое любого файла или URL-адреса. Обратите внимание, что эта уязвимость отличается от GHSA-w9xv-qf98-ccq4 и находится в другом компоненте. Злоумышленник может получить доступ к любому файлу на сервере или раскрыть информацию из произвольных URL-адресов, потенциально раскрывая конфиденциальную информацию, такую как учетные данные AWS IAM. Эта проблема была решена в версиях 1.29.2, 2.1.1 и 2.3.0. Всем пользователям рекомендуется обновиться. Для этой уязвимости нет известных обходных путей.
CVE-2024-45048PHPSpreadsheet — это библиотека на чистом PHP для чтения и записи файлов электронных таблиц. Затронутые версии подвержены обходу фильтра, который позволяет выполнить XXE-атаку. Это, в свою очередь, позволяет злоумышленнику получить содержимое локальных файлов, даже если отчет об ошибках отключен. Эта уязвимость была устранена в версии 2.2.1. Всем пользователям рекомендуется обновиться. Известных обходных путей для этой уязвимости нет.
CVE-2020-7776Это затрагивает пакет phpoffice/phpspreadsheet версий с 0.0.0. Библиотека подвержена XSS при создании вывода html из файла excel путем добавления комментария в любую ячейку. Основная причина этой проблемы заключается в средстве записи HTML, где комментарии пользователей объединяются как часть ссылки и возвращаются как HTML. Исправление для этой проблемы доступно в коммите 0ed5b800be2136bcb8fa9c1bdf59abc957a98845/master branch.
CVE-2024-45060PHPSpreadsheet — это библиотека на чистом PHP для чтения и записи файлов электронных таблиц. Один из примеров сценариев в PhpSpreadsheet подвержен уязвимости межсайтового скриптинга (XSS) из-за неправильной обработки входных данных, где ожидается число, что приводит к инъекции формулы. Код в `45_Quadratic_equation_solver.php` объединяет предоставленные пользователем параметры непосредственно в формулы электронных таблиц. Это позволяет злоумышленнику получить контроль над формулой и вывести неочищенные данные на страницу, что приведет к выполнению JavaScript. Эта проблема была решена в версиях 1.29.2, 2.1.1 и 2.3.0. Всем пользователям рекомендуется обновиться. Известных обходных путей для этой уязвимости нет.
CVE-2026-40296PhpSpSpreadsheet - это чистая PHP-библиотека для чтения и записи файлов электронных таблиц. Автор HTML пропускает thmlspecialchars, убегающие, когда отформатированное значение ячейки отличается от исходного значения. Когда ячейка имеет пользовательский формат номера, содержащий текстовый заполнитель @ вместе с любыми дополнительными буквальными символами (например, ". @», "@ ", или "x@"), форматизатор заменяет @ значением ячейки и добавляет дополнительные символы, в результате чего отформатированное значение отличается от исходного и полностью обходет отход HTML. Злоумышленник, который может контролировать значение ячейки и формат номера загруженной электронной таблицы, которая позже преобразуется в HTML и отображается другим пользователям, может достичь сохраненного сценариев пересеченной площадки. Этот вопрос исправлен в версиях 5.7.0, 3.10.5, 2.4.5, 2.1.16 и 1.30.4.
CVE-2024-45292PHPSpreadsheet — это библиотека на чистом PHP для чтения и записи файлов электронных таблиц. `\PhpOffice\PhpSpreadsheet\Writer\Html` не очищает URL-адреса "javascript:" из атрибутов `href` гиперссылки, что приводит к уязвимости межсайтового скриптинга. Эта проблема была решена в версиях 1.29.2, 2.1.1 и 2.3.0. Всем пользователям рекомендуется обновиться. Для этой уязвимости нет известных обходных путей.
CVE-2024-45046PHPSpreadsheet — это библиотека на чистом PHP для чтения и записи файлов электронных таблиц. В затронутых версиях `\PhpOffice\PhpSpreadsheet\Writer\Html` не выполняет очистку информации о стилях электронных таблиц, такой как названия шрифтов, что позволяет злоумышленнику внедрять произвольный код JavaScript на страницу. В результате злоумышленник может использовать специально созданную электронную таблицу для полного захвата сеанса пользователя, просматривающего файлы электронных таблиц в формате HTML. Эта проблема была решена в версии 2.1.0. Всем пользователям рекомендуется обновиться. Известных обходных путей для этой уязвимости нет.
CVE-2025-22131PhpSpreadsheet - это PHP-библиотека для чтения и записи файлов электронных таблиц. Уязвимость межсайтового скриптинга (XSS) в коде, который преобразует XLSX-файл в HTML-представление и отображает его в ответе.
CVE-2026-35453PhpSpSpreadsheet - это библиотека для чтения и записи файлов электронных таблиц. В версиях 1.30.3 и ранее, 2,0-2.1.15, 2.2.0 до 2.4.4, 3.3,0-3.10 и 4.0.0-5.6.0, HTML Writer пропускает htmlspecialchars() выходной выход, когда ячейка использует пользовательский формат номера, содержащий заполнитель текста @ с дополнительным буквальным текстом (например, @ "предметы"). Побег применяется только тогда, когда отформатированный выход строго равен исходному значению ячейки. Когда код формата содержит @ с цитируемым буквальным текстом, формататор заменяет значение солимы в строке формата и возвращается рано, не вызывая возврата звонка. Агитлер, который может управлять содержимым ячейки в электронной таблице, обрабатываемой HTML Writer, может вводить произвольный HTML и JavaScript в сгенерированный вывод. Эта проблема была исправлена в версиях 1.30.4, 2.1.16, 2.4.5, 3.10.5 и 5.7.0.
CVE-2025-23210phpoffice/phpspreadsheet - это чистая PHP-библиотека для чтения и записи файлов электронных таблиц. Было обнаружено, что уязвимые версии имеют обходной путь для очистки межсайтовых сценариев (XSS) с использованием протокола javascript и специальных символов. Эта проблема была решена в версиях 3.9.0, 2.3.7, 2.1.8 и 1.29.9. Пользователям рекомендуется обновиться. Обходных путей для этой уязвимости не существует.
CVE-2024-56412PhpSpreadsheet — это PHP-библиотека для чтения и записи файлов электронных таблиц. Версии до 3.7.0, 2.3.5, 2.1.6 и 1.29.7 уязвимы для обхода очистки межсайтового скриптинга с использованием протокола javascript и специальных символов. Злоумышленник может использовать специальные символы, чтобы библиотека обрабатывала протокол javascript со специальными символами и генерировала HTML-ссылку. Версии 3.7.0, 2.3.5, 2.1.6 и 1.29.7 содержат исправление этой проблемы.
CVE-2024-56411PhpSpreadsheet — это PHP-библиотека для чтения и записи файлов электронных таблиц. Версии до 3.7.0, 2.3.5, 2.1.6 и 1.29.7 имеют уязвимость межсайтового скриптинга (XSS) базового гиперлинка в заголовке HTML-страницы. HTML-страница формируется без очистки базового гиперлинка. Версии 3.7.0, 2.3.5, 2.1.6 и 1.29.7 содержат исправление этой проблемы.