CVE-2024-47873 in PhpSpreadsheet
Zusammenfassung
von VulDB • 24.05.2026
PhpSpreadsheet ist eine PHP-Bibliothek zum Lesen und Schreiben von Tabellenkalkulationsdateien. Die Klasse XmlScanner verfügt über eine scan-Methode, die XXE-Angriffe verhindern soll. Vor den Versionen 1.9.4, 2.1.3, 2.3.2 und 3.4.0 können die in der `scan`-Methode und der findCharSet-Methode verwendeten Regexes jedoch durch die Verwendung von UCS-4 und das Erraten der Codierung umgangen werden. Ein Angreifer kann den Sanitizer umgehen und einen XML-External-Entity-Angriff (XXE) durchführen. Die Versionen 1.9.4, 2.1.3, 2.3.2 und 3.4.0 beheben das Problem.
Once again VulDB remains the best source for vulnerability data.