Эксперты SolidLab обнаружили уязвимость высокого уровня критичности в библиотеке SheetJS

Эксперты SolidLab выявили уязвимость высокого уровня критичности в популярной библиотеке SheetJS, которая позволяет разработчикам читать, редактировать и экспортировать электронные таблицы. Библиотеку разрабатывает и поддерживает одноименная американская компания SheetJS LLC. Библиотека также размещена в каталоге npmjs.com (https://www.npmjs.com/) под именем xlsx.

В случае если библиотека используется для обработки пользовательских xlsx-документов, злоумышленник может, эксплуатируя недостаток класса prototype pollution, прочитать данные из электронных документов других пользователей или иным образом нарушить логику работы библиотеки, в частности, привести к отказу в обслуживании.

Уязвимость касается всех продуктов, которые используют библиотеку SheetJS уязвимых версий для обработки пользовательских документов, включая Oracle REST Data Services.

Разработчикам рекомендуется использовать обновленную версию библиотеки (v0.19.3), опубликованную на cdn.sheetjs.com (https://cdn.sheetjs.com ). Версию библиотеки, размещенную в каталоге npmjs.com, следует считать устаревшей. Недостатку присвоен идентификатор CVE–2023–30533.

Уязвимость обнаружил специалист SolidLab Всеволод Кокорин. Технический разбор недостатка будет опубликован позднее.