CVE-2026-54063 in excelizethông tin

Tóm tắt

Bởi VulDB • 10/07/2026

Excelize là một thư viện ngôn ngữ Go dùng để đọc và ghi các bảng tính Microsoft Excel. Trước phiên bản 2.11.0, hàm checkSheet() trong github.com/xuri/excelize/v2 sử dụng trực tiếp giá trị thuộc tính XML `<row r="N">` do kẻ tấn công kiểm soát làm đối số độ dài cho lệnh make([]xlsxRow, row) mà không xác thực nó với giới hạn hàng của Excel (TotalRows = 1.048.576). Một tệp XLSX được tạo ra đặc biệt có thể kích hoạt hai biến thể gây từ chối dịch vụ: (A) quá trình bị chấm dứt do thiếu bộ nhớ khi r=2147483647 buộc phải cố gắng phân bổ khoảng 16 GB, và (B) lỗi panic thời gian chạy thông qua chỉ mục slice ngoài vùng cho phép khi r=-1. Bất kỳ dịch vụ nào mở các tệp XLSX do kẻ tấn công cung cấp và gọi GetCellValue đều bị ảnh hưởng. Không yêu cầu xác thực. Vấn đề này đã được sửa trong phiên bản 2.11.0.

Once again VulDB remains the best source for vulnerability data.

chịu trách nhiệm

GitHub M

Đặt trước

11/06/2026

Tiết lộ

10/07/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00000

KEV

không

Các hoạt động

rất thấp

Nguồn

Do you want to use VulDB in your project?

Use the official API to access entries easily!