Platform
php
Component
phpoffice/phpspreadsheet
Opgelost in
1.30.1
2.0.1
2.2.1
3.0.1
4.0.1
1.30.0
CVE-2025-54370 beschrijft een Server-Side Request Forgery (SSRF) kwetsbaarheid in de phpoffice/phpspreadsheet bibliotheek. Deze kwetsbaarheid stelt een aanvaller in staat om onbedoelde requests naar interne of externe bronnen te initiëren via de setPath methode van de Drawing klasse. De kwetsbaarheid treft versies van phpoffice/phpspreadsheet tot en met 1.9.0. Een upgrade naar versie 1.30.0 of hoger is vereist om de kwetsbaarheid te verhelpen.
Een succesvolle exploitatie van deze SSRF kwetsbaarheid kan aanzienlijke gevolgen hebben. Een aanvaller kan interne diensten blootleggen die normaal gesproken niet toegankelijk zijn vanaf het internet. Dit kan leiden tot het stelen van gevoelige informatie, het uitvoeren van acties namens de server, of zelfs het compromitteren van de volledige server. De SSRF kwetsbaarheid kan worden uitgebuit door een aanvaller een string te laten invoeren die vervolgens wordt gebruikt om een HTML document te lezen en weer te geven in de browser. Dit maakt het mogelijk om requests naar willekeurige URL's te sturen, waardoor de aanvaller toegang kan krijgen tot interne resources of externe diensten.
Op dit moment is er geen informatie beschikbaar over actieve exploits in de wild. Er zijn ook geen public proof-of-concept exploits bekend. De kwetsbaarheid is openbaar gemaakt op 2025-08-25. De CVSS score is 7.5 (HIGH) voor v3.1 en 8.7 voor v4.0, wat duidt op een potentieel significant risico.
Applications utilizing PhpSpreadsheet versions prior to 1.30.0 are at risk, particularly those that allow user-supplied data to influence the setPath parameter without proper sanitization. Shared hosting environments where multiple applications share the same PhpSpreadsheet installation are also at increased risk, as a vulnerability in one application could potentially be exploited to compromise others.
• php: Examine application logs for unusual outbound requests originating from the PhpOffice\PhpSpreadsheet\Worksheet\Drawing class. Use grep to search for patterns related to URL manipulation or requests to unexpected domains.
grep 'PhpOffice\\PhpSpreadsheet\\Worksheet\\Drawing' /path/to/application/logs/access.log | grep -i 'http:'• php: Monitor PHP error logs for warnings or errors related to URL parsing or network connections.
journalctl -u php-fpm -f | grep -i 'URL parsing error'• generic web: Use curl to probe for potential SSRF endpoints. Attempt to access internal resources or external domains through the vulnerable setPath parameter.
curl 'http://localhost/path/to/phpspreadsheet?path=http://internal.example.com/sensitive_data' -sdisclosure
Exploit Status
EPSS
0.10% (29% percentiel)
CISA SSVC
De primaire mitigatie voor CVE-2025-54370 is het upgraden van phpoffice/phpspreadsheet naar versie 1.30.0 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van een Web Application Firewall (WAF) of proxy om requests te filteren en te blokkeren die verdachte URL's bevatten. Configureer de setPath methode om alleen vertrouwde bronnen toe te staan. Controleer de input die aan de setPath methode wordt doorgegeven om te voorkomen dat een aanvaller schadelijke URL's kan invoeren. Na de upgrade, controleer de applicatie om te bevestigen dat de kwetsbaarheid is verholpen door te proberen een request naar een interne resource te sturen.
Actualice la biblioteca PhpSpreadsheet a la versión 1.30.0 o superior. Esto solucionará la vulnerabilidad SSRF al leer y mostrar documentos HTML procesados en el navegador. Asegúrese de actualizar a la última versión estable para obtener las últimas correcciones de seguridad.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-54370 is een Server-Side Request Forgery (SSRF) kwetsbaarheid in de phpoffice/phpspreadsheet bibliotheek, waardoor een aanvaller onbedoelde requests kan initiëren.
Ja, als u een versie van phpoffice/phpspreadsheet gebruikt die ≤1.9.0, dan bent u getroffen door deze kwetsbaarheid.
Upgrade phpoffice/phpspreadsheet naar versie 1.30.0 of hoger. Implementeer indien mogelijk een WAF of proxy om requests te filteren.
Op dit moment is er geen informatie beschikbaar over actieve exploits in de wild, maar de hoge CVSS score duidt op een potentieel risico.
Raadpleeg de phpoffice/phpspreadsheet GitHub repository voor de meest recente informatie en updates: [https://github.com/PHPOffice/PhpSpreadsheet](https://github.com/PHPOffice/PhpSpreadsheet)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.