CVE-2024-48917 in PhpSpreadsheet정보

요약

\~에 의해 VulDB • 2026. 06. 19.

PhpSpreadsheet는 스프레드시트 파일을 읽고 쓰기 위한 PHP 라이브러리입니다. `XmlScanner` 클래스에는 XXE 공격을 방지해야 하는 스캔 메서드가 있습니다. 그러나 이전에 보고된 `CVE-2024-47873`의 우회 사례에서, 현재 인코딩을 결정하는 데 사용되는 `findCharSet` 메서드의 정규식은 UTF-7 인코딩 페이로드를 사용하고 파일 끝에 `"encoding="UTF-8"` 값(따옴표 포함)을 가진 주석을 추가함으로써 우회될 수 있습니다. 이는 첫 번째 정규식과 일치하므로 XML 헤더의 `'encoding='UTF-7'`(작은 따옴표 사용)는 두 번째 정규식과 일치하지 않습니다. 공격자는 정화기(Sanitizer)를 우회하여 XML 외부 엔티티(XXE) 공격을 수행할 수 있습니다. 이 문제는 버전 1.9.4, 2.1.3, 2.3.2 및 3.4.0에서 수정되었습니다.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

책임이 있는

GitHub M

예약하다

2024. 10. 10.

모더레이션

수락

항목

VDB-285049

EPSS

0.00718

출처

Might our Artificial Intelligence support you?

Check our Alexa App!