CVE-2026-40296 in PhpSpreadsheetالمعلومات

الملخص

بحسب VulDB • 19/05/2026

PhpSpreadsheet هي مكتبة PHP خالصة لقراءة وكتابة ملفات جداول البيانات. يتخطى كاتب HTML (HTML writer) عملية الهروب باستخدام htmlspecialchars عندما تختلف القيمة المنسقة للخلية عن القيمة الأصلية. عندما تحتوي الخلية على تنسيق رقمي مخصص يحتوي على عنصر نصوص نائب (placeholder) على شكل @ إلى جانب أي أحرف حرفية إضافية (على سبيل المثال ". @"، "@ "، أو "x@")، يقوم المنسّق باستبدال @ بقيمة الخلية وإضافة الأحرف الإضافية، مما يؤدي إلى اختلاف القيمة المنسقة عن القيمة الأصلية وتجاوز عملية الهروب من HTML بالكامل. يمكن لمهاجم قادر على التحكم في قيمة الخلية وتنسيق الأرقام في جدول بيانات تم تحميله، والذي يتم تحويله لاحقاً إلى HTML وعرضه على مستخدمين آخرين، تحقيق ثغرة تخزين البرمجة النصية عبر المواقع (Stored Cross-Site Scripting). تم إصلاح هذه المشكلة في الإصدارات 5.7.0، و3.10.5، و2.4.5، و2.1.16، و1.30.4.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

10/04/2026

إفشاء

07/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-361731

CPE

جاهز

CWE

CWE-79 (مؤكد)

CVSS

5.4 (CNA)

EPSS

0.00012

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-40296
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-40296
CVE Details	https://www.cvedetails.com/cve/CVE-2026-40296/

التالي ▸نظرة عامة ◂ السابق

Want to know what is going to be exploited?

We predict KEV entries!