👾 Эксперт PT SWARM Александр Журнаков помог исправить уязвимость в библиотеке Math — части опенсорсного проекта PHPWord: https://vk.cc/cNoXNE Библиотека PHPWord предназначена для чтения и генерации текстовых документов на языке PHP и популярна среди разработчиков. В июне 2025 года 7,4 тыс. пользователей добавили библиотеку в избранное, она имеет 2,7 тыс. копий репозитория в веб-сервисе GitHub. В свою очередь, Math встроена в PHPWord и почти не используется отдельно: ее сохранили 29 пользователей, а репозиторий был скопирован всего 4 раза. Уязвимость CVE-2025-48882 (https://vk.cc/cNoXWv), найденная в Math 0.2.0, имеет высокий уровень опасности — 8,7 балла по шкале CVSS 4.0. Из-за связанности библиотек слабое место присутствовало и в компоненте PHPWord начиная с версии 1.2.0-beta.1. «Нарушитель мог бы загрузить вредоносный текстовый файл в формате OpenDocument и в процессе его обработки прочитать конфигурационные файлы. Используя их данные, злоумышленник гипотетически получил бы административный доступ к приложению, — объяснил Александр Журнаков. — Возможная атака, скорее всего, была бы направлена на чтение файлов, содержащих чувствительную информацию. В некоторых случаях ошибка могла бы быть использована для подделки запросов со стороны сервера и их отправки во внутреннюю сеть». Потенциальный ущерб, по его словам, полностью зависел бы от возможностей приложения, использующего уязвимую библиотеку. Например, если бы в руках злоумышленника оказался обособленный сервис для конвертации документов в формат PDF, ему вряд ли удалось бы серьезно навредить организации. Мы сообщили о найденной уязвимости, и команда разработчиков-энтузиастов пропатчила обе библиотеки. Так что советуем загрузить исправленные версии Math 0.3.0. и PHPWord 1.4.0. А если такой возможности нет, настройте запрет на использование файлов в формате ODF, если используемое приложение позволяет их загружать. #PTSWARM #PositiveЭксперты #PositiveTechnologies