CVE-2026-54063 in excelizeالمعلومات

الملخص

بحسب VulDB • 10/07/2026

Excelize هي مكتبة بلغة Go لقراءة وكتابة جداول بيانات Microsoft Excel. قبل الإصدار 2.11.0، تستخدم دالة checkSheet() في github.com/xuri/excelize/v2 قيمة سمة XML التي يتحكم فيها المهاجم `<row r="N">` مباشرةً كوسيطة طول لدالة make([]xlsxRow, row) دون التحقق منها مقابل حد صفوف Excel (TotalRows = 1,048,576). يمكن لملف XLSX مُعدّ بعناية أن يُطلق متغيرين من إنكار الخدمة: (أ) عملية قتل بسبب نفاد الذاكرة عند r=2147483647 التي تجبر محاولة تخصيص ~16 جيجابايت، و(ب) خطأ وقت تشغيل (runtime panic) عبر فهرسة شريحة خارج النطاق عندما تكون r=-1. تتأثر أي خدمة تفتح ملفات XLSX المقدمة من المهاجم وتستدعي GetCellValue. لا يتطلب الأمر مصادقة. تم إصلاح هذه المشكلة في الإصدار 2.11.0.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

مسؤول

GitHub M

حجز

11/06/2026

إفشاء

10/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-377536

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you want to use VulDB in your project?

Use the official API to access entries easily!