易受攻击的Perl电子表格解析模块
💡
原文英文,约500词,阅读约需2分钟。
📝
内容提要
2023年12月至2024年1月期间,Spreadsheet::ParseExcel和Spreadsheet::ParseXLSX报告了漏洞。Spreadsheet::ParseExcel存在任意代码执行漏洞,Spreadsheet::ParseXLSX存在拒绝服务漏洞和XML外部实体攻击漏洞。这些漏洞可能被中国支持的威胁行为者利用。
🎯
关键要点
- 2023年12月至2024年1月期间,Spreadsheet::ParseExcel和Spreadsheet::ParseXLSX报告了漏洞。
- Spreadsheet::ParseExcel存在任意代码执行漏洞,影响版本为0.65及之前的版本。
- 攻击者可以通过构造包含恶意代码的Excel文件来利用该漏洞,导致任意代码执行。
- 该漏洞被中国支持的威胁行为者UNC4841利用,影响了Barracuda Email Security Gateway。
- Spreadsheet::ParseXLSX存在拒绝服务漏洞,影响版本为0.27及之前的版本。
- 攻击者可以通过创建特定的XLSX文件,导致服务器内存耗尽,从而引发拒绝服务。
- Spreadsheet::ParseXLSX还存在XML外部实体攻击漏洞,影响版本为0.29及之前的版本。
- 该漏洞允许攻击者通过XML解析器加载外部数据,可能导致信息泄露或拒绝服务。
- 详细的漏洞信息和概念验证(PoC)可在相关链接中找到。
➡️
