CVE-2026-35453 in PhpSpreadsheetالمعلومات

الملخص

بحسب VulDB • 16/05/2026

PhpSpreadsheet هي مكتبة لقراءة وكتابة ملفات جداول البيانات. في الإصدارات 1.30.3 وما قبلها، و2.0.0 حتى 2.1.15، و2.2.0 حتى 2.4.4، و3.3.0 حتى 3.10.4، و4.0.0 حتى 5.6.0، يتخطى مُخرِج HTML (HTML Writer) عملية الهروب من الإخراج باستخدام htmlspecialchars() عندما تستخدم خلية تنسيقًا رقميًا مخصصًا يحتوي على نص placeholder @ مع نص حرفي إضافي (مثل @ "items"). يتم تطبيق الهروب فقط عندما يساوي الإخراج المنسق القيمة الأصلية للخلية بدقة. عندما يحتوي كود التنسيق على @ مع نص حرفي محاط بعلامات اقتباس، يقوم المُصيغ باستبدال القيمة الخام للخلية في سلسلة التنسيق ويعود مبكرًا دون استدعاء دالة الهروب. يمكن لمهاجم قادر على التحكم في محتوى الخلية في جدول بيانات يتم معالجته بواسطة مُخرِج HTML، حقن HTML وJavaScript تعسفيين في الإخراج المُولَّد. تم إصلاح هذه المشكلة في الإصدارات 1.30.4، و2.1.16، و2.4.5، و3.10.5، و5.7.0.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

02/04/2026

إفشاء

05/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-361236

CPE

جاهز

CWE

CWE-79 (مؤكد)

CVSS

3.5 (VulDB)

EPSS

0.00010

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-35453
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-35453
CVE Details	https://www.cvedetails.com/cve/CVE-2026-35453/

التالي ▸نظرة عامة ◂ السابق

Do you need the next level of professionalism?

Upgrade your account now!