Krytyczna luka w PhpSpreadsheet umożliwiająca zdalne wykonanie kodu i SSRF
Krytyczna luka w PhpSpreadsheet umożliwia zdalne wykonanie kodu i SSRF. Sprawdź zalecane aktualizacje i zabezpiecz swoje aplikacje.
- CVSS
- 9.2 CRITICAL
- EPSS
- 49.1%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- phpspreadsheet
Co wiadomo
PhpSpreadsheet, popularna biblioteka do obsługi arkuszy kalkulacyjnych, zawiera krytyczną lukę w wersjach do 1.30.2, 2.0.0–2.1.14, 2.2.0–2.4.3, 3.3.0–3.10.3 oraz 4.0.0–5.5.0. Atakujący mogą wykorzystać manipulację argumentem filename w IOFactory::load(), aby wywołać zdalne wykonanie kodu lub ataki SSRF.
Wpływ biznesowy
Luka o wysokim poziomie ryzyka (CVSS 9.2) może prowadzić do przejęcia kontroli nad aplikacją lub wykonania nieautoryzowanych żądań sieciowych. Organizacje korzystające z podatnych wersji PhpSpreadsheet narażają się na poważne zagrożenia bezpieczeństwa, które mogą skutkować utratą danych, przerwami w działaniu usług oraz naruszeniem integralności systemów.
Rekomendowane działania administratora
Zaleca się niezwłoczne zaktualizowanie PhpSpreadsheet do wersji 1.30.3, 2.1.15, 2.4.4, 3.10.4 lub 5.6.0, w zależności od używanej gałęzi. W przypadku braku możliwości natychmiastowej aktualizacji, ogranicz dostęp użytkowników do funkcji wczytywania plików oraz monitoruj logi pod kątem podejrzanych aktywności. Przeanalizuj i zminimalizuj możliwość przekazywania kontrolowanych przez użytkownika ścieżek do IOFactory::load().