PHPSpreadsheet 中的示例文件中存在未经身份验证的跨站点脚本 (XSS) (CVE-2024-45060)
CVE编号
CVE-2024-45060利用情况
暂无补丁情况
N/A披露时间
2024-10-08漏洞描述
PHPSpreadsheet是一个用于读写电子表格文件的纯PHP库。PhpSpreadsheet中的一个示例脚本存在跨站脚本(XSS)漏洞风险,原因在于对预期为数字的输入处理不当,导致公式注入。在`45_Quadratic_equation_solver.php`中的代码直接将用户提供的参数拼接到电子表格公式中。这使得攻击者可以控制公式,并在页面上输出未经净化的数据,从而导致JavaScript执行。此问题已在发布版本1.29.2、2.1.1和2.3.0中得到解决。建议所有用户进行升级。对于此漏洞,没有已知的解决方法。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://github.com/PHPOffice/PhpSpreadsheet/blob/d50b8b5de7e30439fb57eae7df9e... | |
| https://github.com/PHPOffice/PhpSpreadsheet/security/advisories/GHSA-v66g-p9x6-v98p |
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 未更改
- 用户交互 需要
- 可用性 无
- 保密性 低
- 完整性 高
| CWE-ID | 漏洞类型 |
| CWE-79 | 在Web页面生成时对输入的转义处理不恰当(跨站脚本) |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论