anonhaven

CVE-2026-3665

MEDIUM CVSS 4.0: 4,8 EPSS 0.02%
Обновлено 7 марта 2026
Параметр Значение
CVSS 4,8 (MEDIUM)
Тип уязвимости CWE-476 (Разыменование нулевого указателя), CWE-404 (Некорректное освобождение ресурсов)
Публичный эксплойт Нет

В xlnt-community была обнаружена уязвимость xlnt до 1.6.1. Затронутым элементом является функция xlnt::detail::xlsx_consumer::read_office_document файла source/detail/serialization/xlsx_consumer.cpp компонента XLSX File Parser. Манипуляция приводит к разыменованию нулевого указателя.

Атака должна осуществляться локально. Эксплойт общедоступен и может быть использован.

Показать оригинальное описание (EN)

A vulnerability was identified in xlnt-community xlnt up to 1.6.1. The affected element is the function xlnt::detail::xlsx_consumer::read_office_document of the file source/detail/serialization/xlsx_consumer.cpp of the component XLSX File Parser. The manipulation leads to null pointer dereference. The attack must be carried out locally. The exploit is publicly available and might be used.

Характеристики атаки

Способ атаки
Локальный
Нужен локальный доступ
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Нет
Нет утечки данных
Целостность
Нет
Нет модификации данных
Доступность
Низкое
Частичное нарушение работы

Строка CVSS v4.0

Тип уязвимости (CWE)

CWE-476 NULL Pointer Dereference (Разыменование нулевого указателя)
CWE-404 Improper Resource Shutdown or Release (Некорректное освобождение ресурсов)

Ссылки 6

https://github.com/oneafter/0128/blob/main/xl4/repro
cna@vuldb.com
https://github.com/xlnt-community/xlnt/
cna@vuldb.com
https://github.com/xlnt-community/xlnt/issues/140
cna@vuldb.com
https://vuldb.com/?ctiid.349554
cna@vuldb.com
https://vuldb.com/?id.349554
cna@vuldb.com
https://vuldb.com/?submit.764647
cna@vuldb.com
Share Post Share Share Share