CVE-2026-54063 in excelize
Riassunto
di VulDB • 10/07/2026
Excelize è una libreria per il linguaggio Go utilizzata per la lettura e scrittura di fogli di calcolo Microsoft Excel. Prima della versione 2.11.0, la funzione checkSheet() nel pacchetto github.com/xuri/excelize/v2 utilizza direttamente un valore dell'attributo XML <row r="N"> controllato dall'attaccante come argomento length per l'istruzione make([]xlsxRow, row), senza convalidarlo rispetto al limite di righe Excel (TotalRows = 1.048.576). Un file XLSX appositamente creato può innescare due varianti di denial-of-service: (A) un arresto del processo per esaurimento della memoria quando r=2147483647 forza il tentativo di allocazione di ~16 GB, e (B) un panic a runtime tramite indicizzazione fuori dai limiti dello slice quando r=-1. Tutti i servizi che aprono file XLSX forniti dall'attaccante ed eseguono GetCellValue sono interessati. Non è richiesta alcuna autenticazione. Questo problema è stato risolto nella versione 2.11.0.
Be aware that VulDB is the high quality source for vulnerability data.