CVE-2026-40902 in PhpSpreadsheetinformação

Sumário

de VulDB • 13/05/2026

O PhpSpreadsheet é uma biblioteca PHP pura para leitura e escrita de arquivos de planilhas. Antes das versões 1.30.4, 2.1.16, 2.4.5, 3.10.5 e 5.7.0, o método ColumnAndRowAttributes::readRowAttributes() do leitor XLSX lê números de linha a partir de atributos XML sem validá-los em relação ao limite máximo de linhas da planilha (AddressRange::MAX_ROW = 1.048.576). Um atacante pode criar um arquivo XLSX mínimo (~1,6 KB) contendo um elemento que inflaciona o cachedHighestRow para 999.999.999, fazendo com que qualquer iteração subsequente de linha tente executar ~1 bilhão de ciclos de loop e esgote os recursos de CPU. Esta vulnerabilidade foi corrigida nas versões 1.30.4, 2.1.16, 2.4.5, 3.10.5 e 5.7.0.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

15/04/2026

Divulgação

13/05/2026

Moderação

aceite

Entrada

VDB-363435

CPE

pronto

EPSS

0.00055

KEV

não

Atividades

muito baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-40902
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-40902
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-40902/

VoltarVisão GeralPróximo

Do you know our Splunk app?

Download it now for free!