CVE-2026-40296 in PhpSpreadsheetinfo

Zusammenfassung

von VulDB • 17.05.2026

PhpSpreadsheet ist eine reine PHP-Bibliothek zum Lesen und Schreiben von Tabellenkalkulationsdateien. Der HTML-Writer überspringt die htmlspecialchars-Escaping, wenn der formatierte Wert einer Zelle vom ursprünglichen Wert abweicht. Wenn eine Zelle ein benutzerdefiniertes Zahlenformat enthält, das den Textplatzhalter @ zusammen mit zusätzlichen Literalzeichen enthält (z. B. ". @", "@ " oder "x@"), ersetzt der Formatter @ durch den Zellenwert und fügt die zusätzlichen Zeichen hinzu, wodurch sich der formatierte Wert vom ursprünglichen unterscheidet und das HTML-Escaping vollständig umgangen wird. Ein Angreifer, der den Zellenwert und das Zahlenformat eines hochgeladenen Tabellenkalkulationsdokuments steuern kann, das später in HTML konvertiert und anderen Benutzern angezeigt wird, kann ein gespeichertes Cross-Site-Scripting (XSS) erreichen. Dieses Problem wurde in den Versionen 5.7.0, 3.10.5, 2.4.5, 2.1.16 und 1.30.4 behoben.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

10.04.2026

Veröffentlichung

07.05.2026

Moderieren

akzeptiert

Eintrag

VDB-361731

CPE

bereit

EPSS

0.00012

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-40296
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-40296
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-40296/

ZurückÜbersichtWeiter

Might our Artificial Intelligence support you?

Check our Alexa App!