Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en PHPSpreadsheet (CVE-2024-45048)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-611 Restricción incorrecta de referencia a entidad externa XML (XXE)
Fecha de publicación:
28/08/2024
Última modificación:
04/09/2024

Descripción

PHPSpreadsheet es una librería PHP pura para leer y escribir archivos de hojas de cálculo. Las versiones afectadas están sujetas a la omisión de un filtro que permite un ataque XXE. Esto, a su vez, permite al atacante obtener el contenido de los archivos locales, incluso si el informe de errores está silenciado. Esta vulnerabilidad se ha solucionado en la versión 2.2.1. Se recomienda a todos los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:phpoffice:phpspreadsheet:*:*:*:*:*:*:*:* 1.29.1 (excluyendo)
cpe:2.3:a:phpoffice:phpspreadsheet:*:*:*:*:*:*:*:* 2.0.0 (incluyendo) 2.2.1 (excluyendo)