Spreadsheet::ParseExcel

Die Schwachstelle betrifft Spreadsheet::ParseExcel, ein in Perl geschriebenes Modul zum Einlesen von Excel-Dateien. Der Defekt liegt in der Parser-Logik, die Zahlenformat-Angaben (Number-Format-Strings) aus einer Excel-Datei verarbeitet. Diese aus der Datei stammenden Inhalte werden ungeprüft an eine zeichenkettenbasierte „eval"-Funktion übergeben, die übergebenen Text als ausführbaren Perl-Code interpretiert. Dadurch kann ein Angreifer beliebigen Programmcode einschleusen und ausführen lassen, indem er eine präparierte Excel-Datei bereitstellt, die mit dem Modul geöffnet beziehungsweise verarbeitet wird. Da das Modul häufig im Hintergrund von Server-Anwendungen und Diensten zum automatisierten Einlesen hochgeladener Tabellen eingesetzt wird, genügt dem Angreifer das Unterschieben einer manipulierten Datei – eine direkte Anmeldung am System ist nicht erforderlich. Betroffen sind alle Anwendungen, die dieses Perl-Modul zum Verarbeiten von Excel-Dateien nutzen.