CVE-2024-23525

MITJÀ: (5,3)

CVSS3: 4,6

El paquet Spreadsheet::ParseXLSX per a Perl podria permetre a un atacant remot obtenir informació confidencial, causada per un error d’entitat externa XML (XXE) en processar dades XML. Mitjançant l’ús d’un fitxer XLSX especialment dissenyat, un atacant remot podria explotar aquesta vulnerabilitat per obtenir informació delicada.

Sistemes Afectats

• Perl Spreadsheet::ParseXLSX package for Perl 0.20

Remediació
Consulteu l’spreadsheet-parsexlsx GIT Repository per obtenir informació sobre el pedaç, l’actualització o la solució alternativa. Vegeu-ne les Referències.

Referències

• XXE in default configuration of Spreadsheet::ParseXLSX #10
• CVE-2024-23525: Spreadsheet::ParseXLSX for Perl is vulnerable to XXE attacks
• The Spreadsheet::ParseXLSX package before 0.30 for Perl allows XXE attacks because it neglects to use the no_xxe option of XML::Twig.