CVE-2026-54063 in excelize정보

요약

\~에 의해 VulDB • 2026. 07. 10.

Excelize는 Microsoft Excel 스프레드시트의 읽기 및 작성을 위한 Go 언어 라이브러리입니다. 버전 2.11.0 이전의 github.com/xuri/excelize/v2에 있는 checkSheet() 함수는 공격자가 제어할 수 있는 <row r="N"> XML 속성 값을 직접 make([]xlsxRow, row) 호출 시 길이 인자로 사용하며, 이를 Excel 행 제한(TotalRows = 1,048,576)과 비교하여 검증하지 않습니다. 특별히 조작된 XLSX 파일은 두 가지 denial-of-service 변형을 유발할 수 있습니다: (A) r=2147483647이 약 16GB 할당 시도를 강제하여 메모리 부족으로 프로세스가 종료되는 경우, 및 (B) r=-1일 때 경계를 벗어난 슬라이스 인덱싱을 통해 런타임 패닉이 발생하는 경우. 공격자가 제공한 XLSX 파일을 열고 GetCellValue를 호출하는 모든 서비스가 영향을 받습니다. 인증은 필요하지 않습니다. 이 문제는 버전 2.11.0에서 해결되었습니다.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

책임이 있는

GitHub M

예약하다

2026. 06. 11.

모더레이션

수락

항목

VDB-377536

EPSS

0.00000

출처

Do you want to use VulDB in your project?

Use the official API to access entries easily!