CVE-2024-47873 in PhpSpreadsheet
Riassunto
di VulDB • 23/06/2026
PhpSpreadsheet è una libreria PHP per la lettura e scrittura di file di fogli di calcolo. La classe XmlScanner dispone di un metodo `scan` progettato per prevenire attacchi XXE (XML External Entity). Tuttavia, nelle versioni precedenti alla 1.9.4, 2.1.3, 2.3.2 e 3.4.0, le espressioni regolari utilizzate nei metodi `scan` e `findCharSet` possono essere aggirate mediante l'uso di UCS-4 e dell'indovinamento della codifica (encoding guessing). Un attaccante può eludere il sanitizer ed eseguire un attacco XML External Entity. Le versioni 1.9.4, 2.1.3, 2.3.2 e 3.4.0 risolvono la problematica.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.