Vulnerabilidad en Apache POI (CVE-2025-31672)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
09/04/2025
Última modificación:
15/07/2025
Descripción
Vulnerabilidad de validación de entrada incorrecta en Apache POI. El problema afecta al análisis de archivos con formato OOXML como xlsx, docx y pptx. Estos formatos de archivo son básicamente archivos zip y es posible que usuarios maliciosos agreguen entradas zip con nombres duplicados (incluida la ruta) al archivo zip. En este caso, los productos que lean el archivo afectado podrían leer datos diferentes, ya que se selecciona una de las entradas zip con el nombre duplicado en lugar de otra, pero otros productos podrían elegir una entrada zip diferente. Este problema afecta a Apache POI poi-ooxml anterior a la versión 5.4.0. poi-ooxml 5.4.0 tiene una comprobación que genera una excepción si se encuentran entradas zip con nombres de archivo duplicados en el archivo de entrada. Se recomienda a los usuarios actualizar a la versión poi-ooxml 5.4.0, que soluciona el problema. Consulte https://poi.apache.org/security.html para obtener recomendaciones sobre cómo usar las bibliotecas de POI de forma segura.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:apache:poi:*:*:*:*:*:*:*:* | 5.4.0 (excluyendo) | |
cpe:2.3:a:netapp:active_iq_unified_manager:-:*:*:*:*:linux:*:* | ||
cpe:2.3:a:netapp:active_iq_unified_manager:-:*:*:*:*:vmware_vsphere:*:* | ||
cpe:2.3:a:netapp:active_iq_unified_manager:-:*:*:*:*:windows:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página