phpoffice/phpspreadsheet

**derRenner** · 30.08.2024, 08:37

Hallo,

PHP-Code:


        {

            "name": "bugbuster/contao-visitors-bundle",

            "version": "1.8.5",

            "source": {

                       ...........

            },

                       ...........

            },

            "require": {

                "bugbuster/contao-botdetection-bundle": ">=1.7.0,<1.9.0",

                "bugbuster/contao-clienthints-request-bundle": "^1.0",

                "contao/core-bundle": "^4.13",

                "doctrine/dbal": "^2.13 || ^3.3",

                "php": "^7.4 || ^8.0",

                "phpoffice/phpspreadsheet": "^1.16",

                "symfony/deprecation-contracts": "^2.1 || ^3.0"

            },

Im Zuge einer aufgetauchten Sicherheitslücke in [phpoffice/phpspreadsheet] sehe ich, dass hier eigentlich schon einen Zweig mit 2.* gibt.
https://github.com/PHPOffice/PhpSpreadsheet

In meiner composer.lock wird eine 1.29.0 angeführt.

PHP-Code:


        {

            "name": "phpoffice/phpspreadsheet",

            "version": "1.29.0",

            "source": {

                       .............

Kann ich das selbst beeinflussen, oder wird das über das visitors-bundle "erledigt"?
Ich möchte hier nur erkennen, ob bzw. was ich tun kann.

vielen Dank

**cliffparnitzky** · 30.08.2024, 09:40

Das muss im visitors-bundle "erledigt" werden, weil die aktuelle Konfiguration alle bis <2.0.0 erlaubt: https://jubianchi.github.io/semver-check/#/constraint/^1.16

**BugBuster** · 30.08.2024, 22:55

Neue Version 1.13.4 hat nun phpspreadsheet 2 als Abhängigkeit.
Wer [contao-dlstats-statistic-export-bundle] auch installiert hat, muss hier auch mit updaten auf Version 1.2.0

Beides nur für Contao 5.3 erstmal.

Ob ich für 4.13 auch noch die Anpassungen mache, weiß ich noch nicht.

Laut vuldb sind nur die 2.0, 2.1, 2.2 betroffen, Fix ist in 2.2.1 enthalten.
https://vuldb.com/de/?id.276049

Die Version 2.x unterstützt kein PHP 7.4 mehr. Wenn ich also auch für 4.13 ein Update bringe, dann muss ich den PHP 7.4 Support entfernen.
Ob das notwendig ist für Version 1.x, muss noch geprüft werden, nach der Anleitung.
XXE in PHPSpreadsheet encoding is returned

**Ainschy** · 31.08.2024, 06:36

Danke Glen,

es wäre schön ein Update für die 4.13 mit PHP8 zu bekommen. Einige Installationen kann ich noch nicht auf 5.3 upgraden.

**BugBuster** · 31.08.2024, 22:24

Neue Version 1.8.6 hat nun phpspreadsheet 2 als Abhängigkeit.
Wer [contao-dlstats-statistic-export-bundle] auch installiert hat, muss hier auch mit updaten auf Version 1.0.14

**zoglo** · 31.08.2024, 22:42

Chapeau @BugBuster
(wer noch auf PHP 7.4 setzt, der kann ja auf eine PHP-Version setzen, welche potentiell schon ein paar Sicherheitslücken haben könnte. Geht um nicht gemeldete; Security-Support gibt's ja nicht mehr

)

**derRenner** · 01.09.2024, 05:58

vielen herzlichen DANK für die super rasche Reaktion!!

Thema: phpoffice/phpspreadsheet

Themen-Optionen

Thema durchsuchen

phpoffice/phpspreadsheet

[Contao-Visitors-Bundle 1.13.4] für Contao 5.3.x

[Contao-Visitors-Bundle 1.8.6] für Contao 4.13

Aktive Benutzer

Aktive Benutzer

Berechtigungen