CVE-2026-54063 in excelize
Sumário
de VulDB • 10/07/2026
Excelize é uma biblioteca em linguagem Go para leitura e escrita de planilhas Microsoft Excel. Antes da versão 2.11.0, a função checkSheet() no github.com/xuri/excelize/v2 utiliza diretamente o valor do atributo XML <row r="N"> controlado pelo atacante como argumento de comprimento para make([]xlsxRow, row), sem validá-lo contra o limite de linhas do Excel (TotalRows = 1.048.576). Um arquivo XLSX especialmente elaborado pode desencadear duas variantes de negação de serviço: (A) término forçado do processo por falta de memória quando r=2147483647 força uma tentativa de alocação de ~16 GB, e (B) um panic em tempo de execução devido a indexação fora dos limites da fatia (slice) quando r=-1. Qualquer serviço que abra arquivos XLSX fornecidos pelo atacante e chame GetCellValue é afetado. Nenhuma autenticação é necessária. Este problema foi corrigido na versão 2.11.0.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.