CVE-2026-34084 in PhpSpreadsheet情報

要約

〜によって VulDB • 2026年05月26日

PhpSpreadsheetは、スプレッドシートファイルの読み書きを行うためのライブラリです。バージョン1.30.2およびそれ以前、2.0.0から2.1.14、2.2.0から2.4.3、3.3.0から3.10.3、および4.0.0から5.5.0において、IOFactory::load()のfilename引数がユーザー制御可能な場合、攻撃者はis_file()チェックを通過するPHPストリームラッパーパス（phar://、ftp://、またはssh2.sftp://など）を指定できます。phar://ラッパーはPHARメタデータの逆シリアライズをトリガーし、アプリケーションに適切なガジェットチェーンが存在する場合、リモートコード実行（RCE）につながる可能性があります。ftp://およびssh2.sftp://ラッパーは、サーバーサイドリクエストフォージェリ（SSRF）に使用できます。この問題は、バージョン1.30.3、2.1.15、2.4.4、3.10.4、および5.6.0で修正されています。

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

責任者

GitHub M

予約する

2026年03月25日

公開

2026年05月05日

モデレーション

承諾済み

エントリ

VDB-361223

CPE

準備完了

CWE

CWE-502 (確認済み)

CVSS

7.3 (VulDB)

EPSS

0.00226

KEV

いいえ

アクティビティ

非常低い

ソース

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-34084
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-34084
CVE Details	https://www.cvedetails.com/cve/CVE-2026-34084/

◂ 前概要次 ▸

Do you need the next level of professionalism?

Upgrade your account now!