Informazioni sul CVE-2025-23210
Bypass XSS sanitizer using the javascript protocol and special characters in phpoffice/phpspreadsheet
CWE ID: CWE-79
Base Score (CVSS): 4.8
CVE: CVE-2025-23210
Descrizione: “phpoffice/phpspreadsheet è una libreria PHP pura per leggere e scrivere file di foglio di calcolo. Versioni compromesse sono state trovate che utilizzano il protocollo JavaScript per bypassare lo scanner di script di contenuto dannoso (XSS) e caratteri speciali. Questo problema è stato risolto in versioni 3.9.0, 2.3.7, 2.1.8 e 1.29.9. Gli utenti sono incoraggiati ad aggiornare. Non ci sono soluzioni note per questa vulnerabilità.”
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
- https://github.com/PHPOffice/PhpSpreadsheet/security/advisories/GHSA-r57h-547h-w24f
- https://github.com/PHPOffice/PhpSpreadsheet/commit/cde2926a9e2baf146783f8fd1771bbed7d1dc7b3
Prodotti interessati
- PHPOffice – PhpSpreadsheet
Relazioni con altri prodotti
Produttore:PHPOffice
Prodotto: PhpSpreadsheet
Anno: 2025
CWE: CWE-79
CVSS: 4.8