CVE-2026-35453

Nome do Software Vulnerável e Versões Afetadas PhpSpreadsheet versões anteriores a 1.30.4 PhpSpreadsheet versões 2.0.0 até 2.1.15 PhpSpreadsheet versões 2.2.0 até 2.4.4 PhpSpreadsheet versões 3.3.0 até 3.10.4 PhpSpreadsheet versões 4.0.0 até 5.6.0

Description O HTML Writer ignora a escape de saída htmlspecialchars() quando uma célula utiliza um formato de número personalizado contendo o marcador de texto @ combinado com texto literal adicional (ex: @ "items"). Isso ocorre porque o formatador substitui o valor bruto da célula na string de formato e retorna antecipadamente, ignorando a função de escape. Consequentemente, um invasor que possa controlar o conteúdo da célula em uma planilha processada pelo HTML Writer pode injetar HTML e JavaScript arbitrários na saída gerada.

Recommendations Atualizar para a versão 1.30.4 para versões anteriores a 1.30.4. Atualizar para a versão 2.1.16 para versões 2.0.0 até 2.1.15. Atualizar para a versão 2.4.5 para versões 2.2.0 até 2.4.4. Atualizar para a versão 3.10.5 para versões 3.3.0 até 3.10.4. Atualizar para a versão 5.7.0 para versões 4.0.0 até 5.6.0.