Yaygın olarak kullanılan PHPSPreadsheet kütüphanesinde, saldırganların dahili ağ kaynaklarından yararlanmasına ve sunucu güvenliğini tehlikeye atmasına izin veren, yaygın olarak kullanılan PHPSPreadsheet kütüphanesinde yüksek şiddetli bir sunucu tarafı istek (SSRF) güvenlik açığı tanımlanmıştır.
CVE-2025-54370 olarak izlenen güvenlik açığı, PHPOFFICE/PHPSPreadsheet paketinin birden fazla sürümünü etkiler ve CVSS V4.0 skoru 8.7 taşır.
Key Takeaways
1. SSRF in PhpSpreadsheet’s Worksheet\Drawing::setPath via malicious HTML image tags.
2. Affects < 1.30.0, 2.0.0–2.1.11, 2.2.0–2.3.x, 3.0.0–3.9.x, 4.x < 5.0.0
3. Update immediately and validate inputs.
Yüksek şiddetli SSRF güvenlik açığı
Güvenlik açığı, kötü amaçlı HTML girişinin yetkisiz sunucu tarafı isteklerini tetikleyebileceği phpoffice \ phpspreadsheet \ worksheet \ çizim sınıfının SetPath yönteminde bulunur.
Pozitif Technologies’den Güvenlik Araştırmacısı Aleksey Solovev, kütüphanenin 3.8.0 sürümünü analiz ederken bu sıfır gün kusurunu keşfetti.
Sömürü, saldırganlar, dahili ağ kaynaklarına işaret eden SRC özniteliklerine sahip görüntü etiketleri içeren kötü niyetli HTML belgeleri oluşturduğunda gerçekleşir.
PHPSPreadsheet HTML okuyucu bu belgeleri işlediğinde, kütüphane yanlışlıkla belirtilen URL’lere istek verir ve potansiyel olarak hassas dahili hizmetleri ortaya çıkarır.
Kavram kanıtı kodu saldırı vektörünü gösterir:
Kötü amaçlı HTML dosyası şunları içerir:
| Risk faktörleri | Detaylar |
| Etkilenen ürünler | – Sürümler <1.30.0- 2.0.0–2.1.11- 2.2.0–2.3.x- 3.0.0–3.9.x- 4.x <5.0.0 |
| Darbe | SSRF aracılığıyla yüksek gizlilik etkisi |
| Önkoşuldan istismar | Güvenilmeyen html girişi html okuyucusuna geçti |
| CVSS 3.1 puanı | 7.5 (yüksek) |
Etkilenen sürümler ve güvenlik yamaları
Güvenlik açığı, PhpsPreadsheet ekosisteminde birden fazla sürüm aralıkını etkiler:
- Eski sürümler: 1.30.0’dan önceki tüm sürümler
- Sürüm 2.x Serisi: 2.0.0 ila 2.1.11 ve 2.2.0 ila 2.3.x
- Sürüm 3.x Serisi: 3.0.0 ila 3.9.x
- Sürüm 4.X Serisi: 5.0.0’dan önceki tüm 4.x sürümleri
Yamalı versiyonlar arasında 1.30.0, 2.1.12, 2.4.0, 3.10.0 ve 5.0.0 bulunur. Etkilenen sürümleri kullanan kuruluşlar, potansiyel sömürü önlemek için acil güncellemelere öncelik vermelidir.
Güvenlik açığı sınıflandırması, CWE-918: Sunucu tarafı istek ambgderisini takip eder ve kimlik doğrulama veya kullanıcı etkileşimi gerektirmeyen saldırı vektörleri (AV: N/AC: L/PR: N/UI: N).
Bu, uzaktan saldırganların kullanıcı tarafından sağlanan HTML içeriğini işleyen ağ tarafından erişilebilir uygulamalar yoluyla kusurdan yararlanmasını sağlar.
Ek güvenlik kaygıları, savunmasız kodun File_exists yöntemi aracılığıyla potansiyel PAR seansizasyon saldırılarını içerir ve aynı bileşen içinde birden fazla saldırı yüzeyi oluşturulur.
HTML belge işleme için PhpsPreadsheet kullanan kuruluşlar, güvenlik güncellemelerini dağıtırken giriş doğrulama ve ağ segmentasyonunu ek koruyucu önlemler olarak uygulamalıdır.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.