JVNDB-2026-015077

PHPOfficeのPhpSpreadsheetにおける複数の脆弱性

PhpSpreadsheetはスプレッドシートファイルの読み書き用のライブラリです。バージョン1.30.2以前、2.0.0から2.1.14、2.2.0から2.4.3、3.3.0から3.10.3、および4.0.0から5.5.0において、IOFactory::load()のfilename引数がユーザーによって制御可能な場合、攻撃者はis_file()チェックをFile::assertFile()で通過するPHPストリームラッパーパス（phar://、ftp://、ssh2.sftp://など）を指定することができます。phar://ラッパーはPHARメタデータのデシリアライズを引き起こし、適切なガジェットチェーンがアプリケーション内に存在すると、リモートコード実行に繋がる可能性があります。ftp://およびssh2.sftp://ラッパーはサーバーサイドリクエストフォージェリに悪用される可能性があります。この問題はバージョン1.30.3、2.1.15、2.4.4、3.10.4、および5.6.0で修正されました。

PHPOffice

• PhpSpreadsheet 1.30.3 未満
• PhpSpreadsheet 2.0.0 以上 2.1.15 未満
• PhpSpreadsheet 2.2.0 以上 2.4.4 未満
• PhpSpreadsheet 3.3.0 以上 3.10.4 未満
• PhpSpreadsheet 4.0.0 以上 5.6.0 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。
さらに、当該ソフトウェアが完全に停止する可能性があります。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : SSRF/RCE in IOFactory::load when $filename is user controlled  Advisory  PHPOffice/PhpSpreadsheet  GitHub

1. 信頼できないデータのデシリアライゼーション(CWE-502) [その他]
2. サーバサイドのリクエストフォージェリ(CWE-918) [その他]

1. CVE-2026-34084

1. National Vulnerability Database (NVD) : CVE-2026-34084

• [2026年05月11日]
    掲載