Технический разбор уязвимости в SheetJS от экспертов SolidLab

Издание Xakep.ru опубликовало материал с техническим разбором уязвимости в SheetJS, которую обнаружил эксперт SolidLab Всеволод Кокорин.

NPM-пакет XLSX, выпущенный компанией SheetJS, широко используется разработчиками для взаимодействия с электронными таблицами в форматах XLSX и XLSM, в том числе применяется в корпоративных продуктах. Пакет еженедельно скачивают более 2 млн специалистов. Впрочем, уязвимость также затрагивала продукты, использующие уязвимую версию библиотеки, включая Oracle REST Data Services.

Выявленная уязвимость класса Prototype Pollution при эксплуатации позволяла прочитать данные из электронных документов других пользователей или нарушить логику работы библиотеки, в частности, привести к отказу в обслуживании.

Читать технический разбор уязвимости:

Хakep.ru, «‎‎Дырявый лист. Как работают уязвимости в библиотеке SheetJS»