Тип ошибки:
CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')
Вектор уязвимости:
Базовый вектор уязвимости (CVSSv3.1): CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:H/A:N
Уровень критичности уязвимости (CVSSv3.1): 8.2 (high)
Базовый вектор уязвимости (CVSSv4.0): CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:H/VA:N/SC:L/SI:H/SA:L
Уровень критичности уязвимости (CVSSv4.0): 8.3 (high)
Описание уязвимости:
В PhpSpreadsheet была выявлена проблема, затрагивающая версии >= 3.0.0, < 3.7.0/ <= 1.29.6/ >= 2.0.0, <= 2.1.5/ >= 2.2.0, <= 2.3.4.
Обнаруженная уязвимость может быть использована неавторизованным злоумышленником для выполнения произвольного JavaScript кода в браузере.
Статус уязвимости: Подтверждена производителем
Дата исправления уязвимости: 27.12.2024
Рекомендации:
- Обновление версий >= 3.0.0, < 3.7.0 до 3.7.0 или выше
- Обновление версий <= 1.29.6 до 1.29.7 или выше
- Обновление версий >= 2.0.0, <= 2.1.5 до 2.1.6 или выше
- Обновление версий >= 2.2.0, <= 2.3.4 до 2.3.5 или выше
Прочая информация: Бюллетень по безопасности
Исследователь: Алексей Соловьев (Positive Technologies)
Идентификаторы:
CVE-2024-56365
BDU:2025-00504
Вендор:
PHPOffice
Уязвимый продукт:
PhpSpreadsheet
Уязвимые версии:
>= 3.0.0, < 3.7.0/ <= 1.29.6/ >= 2.0.0, <= 2.1.5/ >= 2.2.0, <= 2.3.4