CVE-2026-3663 xlnt-community — эксплойт и детали уязвимости MEDIUM

Параметр	Значение
CVSS	4,8 (MEDIUM)
Тип уязвимости	CWE-119 (Переполнение буфера), CWE-125 (Чтение за пределами буфера)
Поставщик	xlnt-community
Публичный эксплойт	Нет

Уязвимость была найдена в xlnt-community xlnt до 1.6.1. Эта проблема затрагивает функцию xlnt::detail::compound_document_istreambuf::xsgetn файла source/detail/cryptography/compound_document.cpp компонента XLSX File Parser. Выполнение манипуляции приводит к чтению за пределами допустимого диапазона.

Атака возможна только при локальном доступе. Эксплойт был обнародован и может быть использован. Патч называется 147.

Рекомендуется установить патч для устранения этой проблемы.

Показать оригинальное описание (EN)

A vulnerability was found in xlnt-community xlnt up to 1.6.1. This issue affects the function xlnt::detail::compound_document_istreambuf::xsgetn of the file source/detail/cryptography/compound_document.cpp of the component XLSX File Parser. Performing a manipulation results in out-of-bounds read. The attack is only possible with local access. The exploit has been made public and could be used. The patch is named 147. It is recommended to apply a patch to fix this issue.