CVE-2026-35453 in PhpSpreadsheetinfo

Zusammenfassung

von VulDB • 10.05.2026

PhpSpreadsheet ist eine Bibliothek zum Lesen und Schreiben von Tabellenkalkulationsdateien. In den Versionen 1.30.3 und früher, 2.0.0 bis 2.1.15, 2.2.0 bis 2.4.4, 3.3.0 bis 3.10.4 sowie 4.0.0 bis 5.6.0 überspringt der HTML Writer die Ausgabe-Escaping-Funktion htmlspecialchars(), wenn eine Zelle ein benutzerdefiniertes Zahlenformat verwendet, das den @-Text-Platzhalter mit zusätzlichem Literaltext enthält (z. B. @ "items"). Das Escaping wird nur angewendet, wenn die formatierte Ausgabe strikt dem ursprünglichen Zellenwert entspricht. Wenn der Formatcode @ mit zitiertem Literaltext enthält, substituiert der Formatter den rohen Zellenwert in den Formatstring und kehrt vorzeitig zurück, ohne den Escaping-Callback aufzurufen. Ein Angreifer, der den Inhalt einer Zelle in einer von dem HTML Writer verarbeiteten Tabelle steuern kann, kann beliebiges HTML und JavaScript in die generierte Ausgabe einschleusen. Dieses Problem wurde in den Versionen 1.30.4, 2.1.16, 2.4.5, 3.10.5 und 5.7.0 behoben.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

02.04.2026

Veröffentlichung

05.05.2026

Moderieren

akzeptiert

Eintrag

VDB-361236

CPE

bereit

EPSS

0.00010

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-35453
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-35453
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-35453/

ZurückÜbersichtWeiter

Want to know what is going to be exploited?

We predict KEV entries!