Куда я попал?
CVE-2025-23210
PUBLISHED
04.02.2025
CNA: GitHub_M
Bypass XSS sanitizer using the javascript protocol and special characters in phpoffice/phpspreadsheet
Обновлено:
03.02.2025
phpoffice/phpspreadsheet is a pure PHP library for reading and writing spreadsheet files. Affected versions have been found to have a Bypass of the Cross-site Scripting (XSS) sanitizer using the javascript protocol and special characters. This issue has been addressed in versions 3.9.0, 2.3.7, 2.1.8, and 1.29.9. Users are advised to upgrade. There are no known workarounds for this vulnerability.
CWE
| Идентификатор | Описание |
|---|---|
| CWE-79 | CWE-79 Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') |
CVSS
| Оценка | Severity | Версия | Базовый вектор |
|---|---|---|---|
| 4.8 | MEDIUM | 4.0 | CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:A/VC:L/VI:L/VA:N/SC:L/SI:L/SA:N |
Доп. Информация
Product Status
| PhpSpreadsheet | |||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| Product: | PhpSpreadsheet | ||||||||||
| Vendor: | PHPOffice | ||||||||||
| Default status: | Не определен | ||||||||||
| Версии: |
|
||||||||||
Ссылки
CISA ADP Vulnrichment
Обновлено:
04.02.2025
Этот блок содержит дополнительную информацию, предоставленную программой CVE для этой уязвимости.
SSVC
| Exploitation | Automatable | Technical Impact | Версия | Дата доступа |
|---|---|---|---|---|
| none | no | partial | 2.0.3 | 04.02.2025 |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.