发布日期：2025-01-03
更新日期：2025-02-24

受影响系统：

PhpSpreadsheet PhpSpreadsheet < 3.7.0
PhpSpreadsheet PhpSpreadsheet < 2.3.5
PhpSpreadsheet PhpSpreadsheet < 2.1.6
PhpSpreadsheet PhpSpreadsheet < 1.29.7

描述：

---

CVE(CAN) ID: CVE-2024-56412

PhpSpreadsheet是PHPOffice开源的一款用于读取和写入电子表格文件的PHP库。
PhpSpreadsheet 3.7.0之前版本、2.3.5之前版本、2.1.6之前版本、1.29.7之前版本存在跨站脚本漏洞，该漏洞源于程序未正确过滤javascript协议和特殊字符，攻击者可利用该漏洞使库使用特殊字符处理javascript协议并生成HTML链接。

<**>

建议：

---

厂商补丁：

PhpSpreadsheet
--------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/PHPOffice/PhpSpreadsheet/commit/45052f88e04c735d56457a8ffcdc40b2635a028e

浏览次数：160
严重程度：0（网友投票）