Уразливість CVE-2026-34084 у бібліотеці PhpSpreadsheet
Критична уразливість у PhpSpreadsheet дозволяє віддалене виконання коду через обробку filename в IOFactory::load(). Оновіть бібліотеку для безпеки.
- CVSS
- 9.2 CRITICAL
- EPSS
- 49.1%
- Активно використовується
- немає в KEV
- Продукт
- phpspreadsheet
Що відомо
У бібліотеці PhpSpreadsheet виявлено критичну уразливість, що дозволяє віддалене виконання коду через некоректну обробку аргументу filename у методі IOFactory::load(). Зловмисник може використати PHP stream wrapper, наприклад phar://, для запуску шкідливого коду або ftp:// і ssh2.sftp:// для серверних запитів від імені сервера.
Бізнес-вплив
Ця уразливість може призвести до компрометації серверів, на яких використовується PhpSpreadsheet, через віддалене виконання коду або серверні запити, що можуть викликати витік даних чи інші атаки. ІТ-оператори повинні розглянути ризики для своїх додатків, особливо якщо вони приймають користувацькі вхідні дані для обробки таблиць.
Рекомендовані дії адміністратора
Рекомендується оновити PhpSpreadsheet до версій 1.30.3, 2.1.15, 2.4.4, 3.10.4 або 5.6.0 і новіших. Якщо оновлення неможливе, обмежте можливість передачі користувацьких шляхів у IOFactory::load(), перевіряйте вхідні дані та аналізуйте журнали на предмет підозрілої активності. Зменшення впливу вразливості включає обмеження доступу до функцій, що обробляють файли, та моніторинг мережевого трафіку.