Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Apache POI (CVE-2025-31672)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-20 Validación incorrecta de entrada
Fecha de publicación:
09/04/2025
Última modificación:
15/07/2025

Descripción

Vulnerabilidad de validación de entrada incorrecta en Apache POI. El problema afecta al análisis de archivos con formato OOXML como xlsx, docx y pptx. Estos formatos de archivo son básicamente archivos zip y es posible que usuarios maliciosos agreguen entradas zip con nombres duplicados (incluida la ruta) al archivo zip. En este caso, los productos que lean el archivo afectado podrían leer datos diferentes, ya que se selecciona una de las entradas zip con el nombre duplicado en lugar de otra, pero otros productos podrían elegir una entrada zip diferente. Este problema afecta a Apache POI poi-ooxml anterior a la versión 5.4.0. poi-ooxml 5.4.0 tiene una comprobación que genera una excepción si se encuentran entradas zip con nombres de archivo duplicados en el archivo de entrada. Se recomienda a los usuarios actualizar a la versión poi-ooxml 5.4.0, que soluciona el problema. Consulte https://poi.apache.org/security.html para obtener recomendaciones sobre cómo usar las bibliotecas de POI de forma segura.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:apache:poi:*:*:*:*:*:*:*:* 5.4.0 (excluyendo)
cpe:2.3:a:netapp:active_iq_unified_manager:-:*:*:*:*:linux:*:*
cpe:2.3:a:netapp:active_iq_unified_manager:-:*:*:*:*:vmware_vsphere:*:*
cpe:2.3:a:netapp:active_iq_unified_manager:-:*:*:*:*:windows:*:*