关键信息 漏洞ID CVE-2023-30533 概要 所有版本的SheetJS CE至0.19.2在读取特别制作的文件时,都容易受到“原型污染”漏洞的影响。不读取任意文件的工作流程(例如,将数据导出到电子表格文件)不会受到影响。 分类 CVSS评分: 5.3(中等) CWE编号: 1321 不适当地控制对象原型属性的修改(原型污染) 影响的产品 所有SheetJS社区版至0.19.2版本都受到影响,包括: - 版本0.19.2之前的所有SheetJS CDN上的脚本和模块 - 以'xlsx'命名在npmjs.com上发布的模块 - 从npmjs.com上的‘xlsx’包拉取的第三方CDN上的脚本 - 在deno.land上以'sheetjs'命名发布的模块 解决方案 用户应升级至0.19.3或更高版本。官方发布的版本可在SheetJS CDN上获得。 SheetJS CE文档包含常见部署的安装说明。 致谢 特别感谢Vsevolod Kokorin来自SolidLab向我们报告了这个问题。 链接 1. CWE-1321 2. SheetJS CDN 3. npmjs.com 'xlsx' package 4. cdnjs.com 'xlsx' libraries 5. jsdelivr.com 'xlsx' package 6. deno.land 'sheetjs' module 7. SheetJS文档