CVE-2026-34084 in PhpSpreadsheetinformação

Sumário

de VulDB • 11/05/2026

O PhpSpreadsheet é uma biblioteca para leitura e escrita de arquivos de planilhas. Nas versões 1.30.2 e anteriores, 2.0.0 a 2.1.14, 2.2.0 a 2.4.3, 3.3.0 a 3.10.3 e 4.0.0 a 5.5.0, quando o argumento filename da função IOFactory::load() é controlado pelo usuário, um atacante pode fornecer um caminho de stream wrapper do PHP (como phar://, ftp:// ou ssh2.sftp://) que passa na verificação is_file() em File::assertFile(). O wrapper phar:// desencadeia a desserialização dos metadados do PHAR, o que pode levar à execução remota de código (RCE) se uma cadeia de gadgets adequada estiver disponível na aplicação. Os wrappers ftp:// e ssh2.sftp:// podem ser usados para falsificação de requisição do lado do servidor (SSRF). Este problema foi corrigido nas versões 1.30.3, 2.1.15, 2.4.4, 3.10.4 e 5.6.0.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

25/03/2026

Divulgação

05/05/2026

Moderação

aceite

Entrada

VDB-361223

CPE

pronto

EPSS

0.00226

KEV

não

Atividades

muito baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-34084
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-34084
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-34084/

VoltarVisão GeralPróximo

Interested in the pricing of exploits?

See the underground prices here!