发布日期：2024-08-28
更新日期：2024-11-05

受影响系统：

PHPOffice PHPSpreadsheet < 2.1.0

描述：

---

CVE(CAN) ID: CVE-2024-45046

PHPSpreadsheet是PHPOffice开源的一款用于读取和写入电子表格文件的PHP库。
PHPSpreadsheet 2.1.0之前版本存在安全漏洞，该漏洞源于\PhpOffice\PhpSpreadsheet\Writer\Html未验证电子表格样式信息（例如字体名称），从而允许攻击者在页面上注入任意 JavaScript，攻击者可通过精心设计的电子表格，在用户查看HTML格式的表格文件时完全控制其会话。

<**>

建议：

---

厂商补丁：

PHPOffice
---------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://github.com/PHPOffice/PhpSpreadsheet/security/advisories/GHSA-wgmf-q9vr-vww6

浏览次数：191
严重程度：0（网友投票）