CVE-2023-7101

-
Debian Linux における任意コード実行に関する脆弱性
Spreadsheet::ParseExcel バージョン 0.65 は、Excel ファイルを解析するために使用される Perl モジュールです。Spreadsheet::ParseExcel は、ファイルからの未検証の入力を文字列型の "eval" に渡すことによる任意のコード実行 (ACE) 脆弱性を抱えています。具体的には、問題は Excel 解析ロジック内での数値形式文字列の評価に起因しています(printf スタイルの形式文字列とは混同しないでください)。
この脆弱性は悪用が確認されています
-
KEV:
Spreadsheet::ParseExcelリモートコード実行の脆弱性
必要な対応:
ベンダーの指示に従って対策を講じるか、対策が利用できない場合は製品の使用を中止してください。
KEV追加日:
2024/01/02
攻撃元区分
ローカル
攻撃条件の複雑さ
必要な特権レベル
不要
ユーザ関与レベル
スコープ
変更なし
機密性への影響
完全性への影響
可用性への影響
構成
cpe:2.3:a:jmcnamara:spreadsheet\:\:parseexcel:*:*:*:*:*:perl:*:*
cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:38:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:39:*:*:*:*:*:*:*
参考URL
http://www.openwall.com/lists/oss-security/2023/12/29/4
https://github.com/jmcnamara/spreadsheet-parseexcel/blob/c7298592e102a375d43150cd002feed806557c15/lib/Spreadsheet/ParseExcel/Utility.pm#L171
https://github.com/mandiant/Vulnerability-Disclosures/blob/master/2023/MNDT-2023-0019.md
https://https://github.com/haile01/perl_spreadsheet_excel_rce_poc
https://https://github.com/jmcnamara/spreadsheet-parseexcel/commit/bd3159277e745468e2c553417b35d5d7dc7405bc
https://https://metacpan.org/dist/Spreadsheet-ParseExcel
https://https://www.cve.org/CVERecord?id=CVE-2023-7101
https://lists.debian.org/debian-lts-announce/2023/12/msg00025.html
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/IFEHKULQRVXHIV7XXK2RGD4VQN6Y4CV5/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/M2FIWDHRYTAAQLGM6AFOZVM7AFZ4H2ZR/
https://security.metacpan.org/2024/02/10/vulnerable-spreadsheet-parsing-modules.html
脆弱性タイプ
CWE-95
詳細(英語)
CWE-94
詳細(英語)
AI要約を無料体験!