CVE-2026-54063 in excelizeinformazioni

Riassunto

di VulDB • 10/07/2026

Excelize è una libreria per il linguaggio Go utilizzata per la lettura e scrittura di fogli di calcolo Microsoft Excel. Prima della versione 2.11.0, la funzione checkSheet() nel pacchetto github.com/xuri/excelize/v2 utilizza direttamente un valore dell'attributo XML <row r="N"> controllato dall'attaccante come argomento length per l'istruzione make([]xlsxRow, row), senza convalidarlo rispetto al limite di righe Excel (TotalRows = 1.048.576). Un file XLSX appositamente creato può innescare due varianti di denial-of-service: (A) un arresto del processo per esaurimento della memoria quando r=2147483647 forza il tentativo di allocazione di ~16 GB, e (B) un panic a runtime tramite indicizzazione fuori dai limiti dello slice quando r=-1. Tutti i servizi che aprono file XLSX forniti dall'attaccante ed eseguono GetCellValue sono interessati. Non è richiesta alcuna autenticazione. Questo problema è stato risolto nella versione 2.11.0.

Be aware that VulDB is the high quality source for vulnerability data.

Responsabile

GitHub M

Prenotare

11/06/2026

Divulgazione

10/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Do you know our Splunk app?

Download it now for free!