Krytyczna luka w PhpSpreadsheet umożliwiająca zdalne wykonanie kodu i SSRF

Krytyczna luka w PhpSpreadsheet umożliwia zdalne wykonanie kodu i SSRF. Sprawdź zalecane aktualizacje i zabezpiecz swoje aplikacje.
CVE-2026-34084CVSS 9.2Web

Krytyczna luka w PhpSpreadsheet umożliwiająca zdalne wykonanie kodu i SSRF

Krytyczna luka w PhpSpreadsheet umożliwia zdalne wykonanie kodu i SSRF. Sprawdź zalecane aktualizacje i zabezpiecz swoje aplikacje.

CVSS
9.2 CRITICAL
EPSS
49.1%
Aktywnie wykorzystywana
brak w KEV
Produkt
phpspreadsheet

Co wiadomo

PhpSpreadsheet, popularna biblioteka do obsługi arkuszy kalkulacyjnych, zawiera krytyczną lukę w wersjach do 1.30.2, 2.0.0–2.1.14, 2.2.0–2.4.3, 3.3.0–3.10.3 oraz 4.0.0–5.5.0. Atakujący mogą wykorzystać manipulację argumentem filename w IOFactory::load(), aby wywołać zdalne wykonanie kodu lub ataki SSRF.

Wpływ biznesowy

Luka o wysokim poziomie ryzyka (CVSS 9.2) może prowadzić do przejęcia kontroli nad aplikacją lub wykonania nieautoryzowanych żądań sieciowych. Organizacje korzystające z podatnych wersji PhpSpreadsheet narażają się na poważne zagrożenia bezpieczeństwa, które mogą skutkować utratą danych, przerwami w działaniu usług oraz naruszeniem integralności systemów.

Rekomendowane działania administratora

Zaleca się niezwłoczne zaktualizowanie PhpSpreadsheet do wersji 1.30.3, 2.1.15, 2.4.4, 3.10.4 lub 5.6.0, w zależności od używanej gałęzi. W przypadku braku możliwości natychmiastowej aktualizacji, ogranicz dostęp użytkowników do funkcji wczytywania plików oraz monitoruj logi pod kątem podejrzanych aktywności. Przeanalizuj i zminimalizuj możliwość przekazywania kontrolowanych przez użytkownika ścieżek do IOFactory::load().

Źródła