Đình Hải Lê

**Nome do software vulnerável e versões afetadas** Versões do Spreadsheet::ParseXLSX anteriores à 0.28 **Descrição** O problema decorre do fato de a implementação da memoização não possuir restrições adequadas para células mescladas, levando a uma condição de falta de memória ao analisar um documento XLSX malicioso. Isso pode causar uma negação de serviço. **Recomendações** Para versões anteriores à 0.28, atualize para a versão 0.28 ou posterior para resolver o problema. Como solução temporária, considere implementar restrições nas células mescladas na implementação do memoize para evitar condições de falta de memória.

**Name of the Vulnerable Software and Affected Versions** Spreadsheet::ParseExcel version 0.65 **Description** The issue is related to the evaluation of Number format strings within the Excel parsing logic, which allows for arbitrary code execution due to passing unvalidated input from a file into a string-type `eval`. This vulnerability can be exploited when processing XLS or XLSX files that include specially crafted number formatting rules. The problem is caused by the use of data from the processed file when building the `eval` call. **Recommendations** For Spreadsheet::ParseExcel version 0.65, upgrade to version 0.66 to fix the issue. As a temporary workaround, consider disabling the use of Number format strings within the Excel parsing logic until a patch is available. Restrict access to the `eval` function to minimize the risk of exploitation. Avoid using the `eval` function with unvalidated input from files.