Эксперты SolidLab обнаружили уязвимость высокого уровня критичности в библиотеке SheetJS

.



Эксперты SolidLab выявили уязвимость высокого уровня критичности в популярной библиотеке SheetJS, которая позволяет разработчикам читать, редактировать и экспортировать электронные таблицы. Библиотеку разрабатывает и поддерживает одноименная американская компания SheetJS LLC. Библиотека также размещена в каталоге npmjs.com под именем xlsx.

В случае если библиотека используется для обработки пользовательских xlsx-документов, злоумышленник может, эксплуатируя недостаток класса prototype pollution, прочитать данные из электронных документов других пользователей или иным образом нарушить логику работы библиотеки, в частности, привести к отказу в обслуживании.

Уязвимость касается всех продуктов, которые используют библиотеку SheetJS уязвимых версий для обработки пользовательских документов, включая Oracle REST Data Services.

Разработчикам рекомендуется использовать обновленную версию библиотеки (v0.19.3), опубликованную на cdn.sheetjs.com. Версию библиотеки, размещенную в каталоге npmjs.com, следует считать устаревшей. Недостатку присвоен идентификатор CVE—2023—30533.

Уязвимость обнаружил специалист SolidLab Всеволод Кокорин. Технический разбор недостатка будет опубликован позднее.

Securitymedia: Эксперты SolidLab обнаружили уязвимость высокого уровня критичности в библиотеке SheetJS