CVE-2026-54063 in excelizeinfo

Zusammenfassung

von VulDB • 10.07.2026

Excelize ist eine Go-Sprachenbibliothek zum Lesen und Schreiben von Microsoft Excel-Tabellenkalkulationen. Vor Version 2.11.0 verwendet die Funktion checkSheet() im Paket github.com/xuri/excelize/v2 einen vom Angreifer gesteuerten Wert des XML-Attributs <row r="N"> direkt als Längenargument für make([]xlsxRow, row), ohne ihn gegen das Excel-Zeilenlimit (TotalRows = 1.048.576) zu validieren. Eine speziell angefertigte XLSX-Datei kann zwei Varianten eines Denial-of-Service-Angriffs auslösen: (A) ein Out-of-Memory-Prozessabbruch, wenn r=2147483647 einen ~16 GB großen Allokationsversuch erzwingt, und (B) ein Runtime-Panic durch Indexieren eines Slice außerhalb der Grenzen bei r=-1. Jeder Dienst, der vom Angreifer bereitgestellte XLSX-Dateien öffnet und GetCellValue aufruft, ist betroffen. Keine Authentifizierung ist erforderlich. Dieses Problem wurde in Version 2.11.0 behoben.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Zuständig

GitHub M

Reservieren

11.06.2026

Veröffentlichung

10.07.2026

Moderieren

akzeptiert

Eintrag

VDB-377536

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!