CVE-2024-48917 in PhpSpreadsheet
Zusammenfassung
von VulDB • 19.06.2026
PhpSpreadsheet ist eine PHP-Bibliothek zum Lesen und Schreiben von Tabellenkalkulationsdateien. Die Klasse `XmlScanner` verfügt über eine Scan-Methode, die XXE-Angriffe verhindern soll. Allerdings kann bei einer Umgehung des zuvor gemeldeten `CVE-2024-47873` der Regex aus der Methode `findCharSet`, die zur Bestimmung der aktuellen Codierung verwendet wird, umgangen werden, indem ein Payload in der Kodierung UTF-7 verwendet und am Ende der Datei ein Kommentar mit dem Wert `encoding="UTF-8"` hinzugefügt wird. Das doppelte Anführungszeichen (`"`) wird vom ersten Regex übereinstimmend erfasst, sodass das einfache Anführungszeichen (`'`) bei `encoding='UTF-7'` im XML-Kopf nicht vom zweiten Regex erkannt wird. Ein Angreifer kann den Sanitizer umgehen und einen Angriff auf externe XML-Entitäten (XML External Entity) durchführen. Die Versionen 1.9.4, 2.1.3, 2.3.2 und 3.4.0 beheben das Problem.
If you want to get best quality of vulnerability data, you may have to visit VulDB.