search

alibaba / easyexcel

快速、简洁、解决大文件内存溢出的java处理Excel工具
https://easyexcel.opensource.alibaba.com
Apache License 2.0
32.13k stars 7.49k forks source link

你好,我使用easyexcel3.3.2时检测出poi存在安全漏洞,需要我将poi升级至5.2.1+。但是升级版本后,csv下载功能提示问题。 #3551

Closed hanweidong closed 10 months ago

hanweidong commented 11 months ago

建议描述

你好,我使用easyexcel3.3.2时检测出poi存在安全漏洞(CVE-2022-26336),需要我将poi升级至5.2.1+。但是升级版本后,csv下载功能提示问题。 异常信息如下: com.alibaba.excel.exception.ExcelGenerateException: java.lang.NoClassDefFoundError: org/apache/poi/util/POILogFactory 麻烦问下这个问题如何解决?

pillar-cat commented 11 months ago

先回退版本到4.1.2吧

hanweidong commented 11 months ago

先回退版本到4.1.2吧 回退到4.1.2会提示[CVE-2022-26336]漏洞。 详细信息如下: A shortcoming in the HMEF package of poi-scratchpad (Apache POI) allows an attacker to cause an Out of Memory exception. This package is used to read TNEF files (Microsoft Outlook and Microsoft Exchange Server). If an application uses poi-scratchpad to parse TNEF files and the application allows untrusted users to supply them, then a carefully crafted file can cause an Out of Memory exception. This issue affects poi-scratchpad version 5.2.0 and prior versions. Users are recommended to upgrade to poi-scratchpad 5.2.1. 麻烦问下如果下个版本会对poi版本进行升级么。

pillar-cat commented 11 months ago

很遗憾,我不是社区成员。现在他们也很少维护了,这个漏洞我也看了一下,你可以过滤掉.tnef后缀的文件来避免这个漏洞的利用。

这个格式的文件再easyexcel有用到吗?

hanweidong commented 11 months ago

很遗憾,我不是社区成员。现在他们也很少维护了,这个漏洞我也看了一下,你可以过滤掉.tnef后缀的文件来避免这个漏洞的利用。

这个格式的文件再easyexcel有用到吗?

这个问题有没有用到我不清楚,不过你是说重新打包easyexcel,在pom里排除.tnef文件么

pillar-cat commented 11 months ago

很遗憾,我不是社区成员。现在他们也很少维护了,这个漏洞我也看了一下,你可以过滤掉.tnef后缀的文件来避免这个漏洞的利用。

这个格式的文件再easyexcel有用到吗?

这个问题有没有用到我不清楚,不过你是说重新打包easyexcel,在pom里排除.tnef文件么

不是,我的意思是你在开发它的时候过滤掉用户提供的这个文件。但是这个TNEF文件是Outlook的附件,你使用easyExcel不需要担心这个漏洞的问题,因为根本不会被利用。

hanweidong commented 11 months ago

很遗憾,我不是社区成员。现在他们也很少维护了,这个漏洞我也看了一下,你可以过滤掉.tnef后缀的文件来避免这个漏洞的利用。

这个格式的文件再easyexcel有用到吗?

这个问题有没有用到我不清楚,不过你是说重新打包easyexcel,在pom里排除.tnef文件么

不是,我的意思是你在开发它的时候过滤掉用户提供的这个文件。但是这个TNEF文件是Outlook的附件,你使用easyExcel不需要担心这个漏洞的问题,因为根本不会被利用。

我尝试在打包时排除TNEF文件,但是并没有解决问题。但是我更新了poi-ooxml-schemas、poi、poi-ooxml到最新版本,这样升级后可以解决安全漏洞问题,并且下载数据也是成功。

pillar-cat commented 11 months ago

很遗憾,我不是社区成员。现在他们也很少维护了,这个漏洞我也看了一下,你可以过滤掉.tnef后缀的文件来避免这个漏洞的利用。

这个格式的文件再easyexcel有用到吗?

这个问题有没有用到我不清楚,不过你是说重新打包easyexcel,在pom里排除.tnef文件么

不是,我的意思是你在开发它的时候过滤掉用户提供的这个文件。但是这个TNEF文件是Outlook的附件,你使用easyExcel不需要担心这个漏洞的问题,因为根本不会被利用。

我尝试在打包时排除TNEF文件,但是并没有解决问题。但是我更新了poi-ooxml-schemas、poi、poi-ooxml到最新版本,这样升级后可以解决安全漏洞问题,并且下载数据也是成功。

不是打包,这个文件就是个outlook的附件文件,而poi是用来处理office套件的。easyexcel没有处理邮件的东西呀,你可以无视这个漏洞的。

hanweidong commented 11 months ago

很遗憾,我不是社区成员。现在他们也很少维护了,这个漏洞我也看了一下,你可以过滤掉.tnef后缀的文件来避免这个漏洞的利用。

这个格式的文件再easyexcel有用到吗?

这个问题有没有用到我不清楚,不过你是说重新打包easyexcel,在pom里排除.tnef文件么

不是,我的意思是你在开发它的时候过滤掉用户提供的这个文件。但是这个TNEF文件是Outlook的附件,你使用easyExcel不需要担心这个漏洞的问题,因为根本不会被利用。

我尝试在打包时排除TNEF文件,但是并没有解决问题。但是我更新了poi-ooxml-schemas、poi、poi-ooxml到最新版本,这样升级后可以解决安全漏洞问题,并且下载数据也是成功。

不是打包,这个文件就是个outlook的附件文件,而poi是用来处理office套件的。easyexcel没有处理邮件的东西呀,你可以无视这个漏洞的。

了解啦,感谢你的回答。