CVE-2026-54063 in excelizeinformation

Résumé

par VulDB • 11/07/2026

Excelize est une bibliothèque en langage Go pour la lecture et l'écriture de feuilles de calcul Microsoft Excel. Avant la version 2.11.0, la fonction checkSheet() dans github.com/xuri/excelize/v2 utilise directement la valeur d'un attribut XML <row r="N"> contrôlé par un attaquant comme argument de longueur pour faire([]xlsxRow, row), sans le valider par rapport à la limite du nombre de lignes Excel (TotalRows = 1 048 576). Un fichier XLSX spécialement conçu peut déclencher deux variantes d'atteinte à la disponibilité des services : (A) un arrêt du processus dû à une épuisement de la mémoire lorsque r=2147483647 force une tentative d'allocation d'environ 16 Go, et (B) une panic d'exécution due à un accès hors limites au sein d'un slice lorsque r=-1. Tout service ouvrant des fichiers XLSX fournis par un attaquant et appelant GetCellValue est concerné. Aucune authentification n'est requise. Ce problème est corrigé dans la version 2.11.0.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsable

GitHub M

Réserver

11/06/2026

Divulgation

10/07/2026

Modérer

accepté

Entrée

VDB-377536

CPE

prêt

EPSS

0.00000

KEV

non

Activités

très faible

Sources

Do you need the next level of professionalism?

Upgrade your account now!