CVE-2026-54063 in excelizeinformación

Resumen

por VulDB • 2026-07-10

Excelize es una biblioteca del lenguaje Go para leer y escribir hojas de cálculo Microsoft Excel. Antes de la versión 2.11.0, la función checkSheet() en github.com/xuri/excelize/v2 utiliza el valor del atributo XML <row r="N"> controlado por un atacante directamente como argumento de longitud para make([]xlsxRow, row) sin validarlo contra el límite de filas de Excel (TotalRows = 1.048.576). Un archivo XLSX especialmente manipulado puede provocar dos variantes de denegación de servicio: (A) una terminación del proceso por falta de memoria cuando r=2147483647 fuerza un intento de asignación de ~16 GB, y (B) un pánico en tiempo de ejecución mediante indexación fuera de límites de la rebanada (slice) cuando r=-1. Cualquier servicio que abra archivos XLSX proporcionados por atacantes y llame a GetCellValue se ve afectado. No se requiere autenticación. Este problema está corregido en la versión 2.11.0.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsable

GitHub M

Reservar

2026-06-11

Divulgación

2026-07-10

Moderación

aceptado

Artículo

VDB-377536

CPE

listo

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

Might our Artificial Intelligence support you?

Check our Alexa App!