CVE-2026-40902 in PhpSpreadsheetinformation

Résumé

par VulDB • 13/05/2026

PhpSpreadsheet est une bibliothèque PHP pure pour la lecture et l'écriture de fichiers de feuilles de calcul. Avant les versions 1.30.4, 2.1.16, 2.4.5, 3.10.5 et 5.7.0, la méthode `ColumnAndRowAttributes::readRowAttributes()` du lecteur XLSX lit les numéros de ligne à partir d'attributs XML sans les valider par rapport à la limite maximale de lignes de la feuille de calcul (`AddressRange::MAX_ROW = 1 048 576`). Un attaquant peut créer un fichier XLSX minimal (~1,6 Ko) contenant un élément qui définit `cachedHighestRow` à 999 999 999, ce qui entraîne, pour toute itération ultérieure sur les lignes, une tentative d'exécution d'environ 1 milliard de cycles de boucle et l'épuisement des ressources CPU. Cette vulnérabilité est corrigée dans les versions 1.30.4, 2.1.16, 2.4.5, 3.10.5 et 5.7.0.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Réserver

15/04/2026

Divulgation

13/05/2026

Modérer

accepté

Entrée

VDB-363435

CPE

prêt

EPSS

0.00055

KEV

non

Activités

très faible

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-40902
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-40902
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-40902/

PrécédentAperçuSuivant

Might our Artificial Intelligence support you?

Check our Alexa App!