CVE-2026-54063 in excelizeinformação

Sumário

de VulDB • 10/07/2026

Excelize é uma biblioteca em linguagem Go para leitura e escrita de planilhas Microsoft Excel. Antes da versão 2.11.0, a função checkSheet() no github.com/xuri/excelize/v2 utiliza diretamente o valor do atributo XML <row r="N"> controlado pelo atacante como argumento de comprimento para make([]xlsxRow, row), sem validá-lo contra o limite de linhas do Excel (TotalRows = 1.048.576). Um arquivo XLSX especialmente elaborado pode desencadear duas variantes de negação de serviço: (A) término forçado do processo por falta de memória quando r=2147483647 força uma tentativa de alocação de ~16 GB, e (B) um panic em tempo de execução devido a indexação fora dos limites da fatia (slice) quando r=-1. Qualquer serviço que abra arquivos XLSX fornecidos pelo atacante e chame GetCellValue é afetado. Nenhuma autenticação é necessária. Este problema foi corrigido na versão 2.11.0.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsável

GitHub M

Reservar

11/06/2026

Divulgação

10/07/2026

Moderação

aceite

Entrada

VDB-377536

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

muito baixo

Fontes

Do you need the next level of professionalism?

Upgrade your account now!