Vulnerabilidad en PHPSpreadsheet (CVE-2024-45293)

PHPSpreadsheet es una librería PHP pura para leer y escribir archivos de hojas de cálculo. El escáner de seguridad responsable de prevenir ataques XXE en el lector XLSX se puede eludir modificando ligeramente la estructura XML, utilizando espacios en blanco. En servidores que permiten a los usuarios cargar sus propias hojas de Excel (XLSX), los archivos del servidor y la información confidencial se pueden divulgar proporcionando una hoja manipulada. La función de escaneo de seguridad en src/PhpSpreadsheet/Reader/Security/XmlScanner.php contiene una comprobación de codificación XML defectuosa para recuperar la codificación XML del archivo de entrada en la función toUtf8. La función busca la codificación XML a través de una expresión regular definida que busca `encoding="*"` y/o `encoding='*'`, si no se encuentra, se utiliza de forma predeterminada la codificación UTF-8 que elude la lógica de conversión. Esta lógica se puede utilizar para pasar un payload XXE codificada en UTF-7, utilizando un espacio en blanco antes o después del = en la definición del atributo. Divulgación de información confidencial a través de XXE en sitios que permiten a los usuarios cargar sus propias hojas de cálculo de Excel y analizarlas mediante el analizador de Excel de PHPSpreadsheet. Este problema se ha solucionado en las versiones de lanzamiento 1.29.1, 2.1.1 y 2.3.0. Se recomienda a todos los usuarios que actualicen la versión. No se conocen workarounds para esta vulnerabilidad.