CVE-2025-22131

plus petit que 1 minute de lecture

Mis à jour : October 28, 2025

Vulnérabilité XSS dans PhpSpreadsheet corrigée

Une faille de sécurité de type Cross-Site Scripting (XSS) a été identifiée dans la librairie PHP PhpSpreadsheet, utilisée pour la manipulation de fichiers tableurs. Cette vulnérabilité, référencée CVE-2025-22131, permettait l’exécution de code JavaScript malveillant via les noms des feuilles de calcul lors de la conversion de fichiers XLSX en HTML.

Points Clés :

Nature de la vulnérabilité : Cross-Site Scripting (XSS).
Composant affecté : PhpSpreadsheet.
Fonction vulnérable : generateNavigation().
Cause : Absence de désinfection adéquate des noms de feuilles de calcul avant leur insertion dans le code HTML.
Impact : Exécution de code JavaScript arbitraire par un attaquant sur le navigateur d’un utilisateur interagissant avec le site compromis.

Vulnérabilité :

CVE : CVE-2025-22131

Recommandations :

Mettre à jour PhpSpreadsheet vers les versions corrigées : 3.8.0, 1.29.8, 2.1.7 ou 2.3.6. La correction consiste à utiliser htmlspecialchars() pour désinfecter les noms de feuilles avant de les inclure dans la sortie HTML.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

CVE-2025-22131

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast