Тип ошибки:
CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')
Вектор уязвимости:
Базовый вектор уязвимости (CVSSv3.1): CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
Уровень критичности уязвимости (CVSSv3.1): 5.4 (medium)
Базовый вектор уязвимости (CVSSv4.0): CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:A/VC:L/VI:L/VA:N/SC:L/SI:L/SA:N
Уровень критичности уязвимости (CVSSv4.0): 4.8 (medium)
Описание уязвимости:
В PhpSpreadsheet была выявлена проблема, затрагивающая версии >= 3.0.0, < 3.7.0/ <= 1.29.6/ >= 2.0.0, <= 2.1.5/ >= 2.2.0, <= 2.3.4.
Обнаруженная уязвимость позволяет злоумышленнику обрабатывать протокол javascript со специальными символами, что приводит к возможности выполнения произвольного JavaScript-кода в браузере жертвы.
Статус уязвимости: Подтверждена производителем
Дата исправления уязвимости: 27.12.2024
Рекомендации:
- Обновление версий >= 3.0.0, < 3.7.0 до 3.7.0 или выше
- Обновление версий <= 1.29.6 до 1.29.7 или выше
- Обновление версий >= 2.0.0, <= 2.1.5 до 2.1.6 или выше
- Обновление версий >= 2.2.0, <= 2.3.4 до 2.3.5 или выше
Прочая информация: Бюллетень по безопасности
Исследователь: Алексей Соловьев (Positive Technologies)
Идентификаторы:
CVE-2024-56412
BDU:2025-00508
Вендор:
PHPOffice
Уязвимый продукт:
PhpSpreadsheet
Уязвимые версии:
>= 3.0.0, < 3.7.0/ <= 1.29.6/ >= 2.0.0, <= 2.1.5/ >= 2.2.0, <= 2.3.4