Plattform
nodejs
Komponente
fast-xml-parser
Behoben in
4.0.1
5.5.7
CVE-2026-33349 describes a denial-of-service (DoS) vulnerability within the fast-xml-parser Node.js package. This flaw arises from improper handling of entity expansion limits when these limits are explicitly set to zero. An attacker can exploit this by providing malicious XML input, leading to excessive memory consumption and potential service disruption. Affected versions are those prior to 4.5.5, and a fix is available in version 4.5.5.
Die CVE-2026-33349-Schwachstelle in fast-xml-parser liegt in der Handhabung der maxEntityCount- und maxEntitySize-Limits innerhalb der DocTypeReader-Komponente. Der Code verwendet JavaScript 'truthy'-Prüfungen, um diese Limits zu bewerten. Wenn ein Entwickler eines dieser Limits explizit auf 0 setzt – in der Absicht, alle Entitäten vollständig zu deaktivieren oder die Entitätsgröße auf null Bytes zu beschränken – führt die 'falsy'-Natur von 0 in JavaScript dazu, dass die Schutzbedingungen unterbrochen werden und die Limits effektiv umgangen werden. Ein Angreifer, der XML-Eingaben an eine solche Anwendung liefern kann, kann eine unbegrenzte Entitätsausweitung auslösen, was zu einer Denial-of-Service-(DoS)-Bedingung oder potenziell zur Ausführung von beliebigem Code führen kann, abhängig vom Anwendungskontext.
Diese Schwachstelle ist in Anwendungen ausnutzbar, die fast-xml-parser verwenden, um XML-Dateien aus externen Quellen zu verarbeiten, insbesondere wenn die maxEntityCount- und maxEntitySize-Limits explizit auf 0 gesetzt wurden. Ein Angreifer könnte eine bösartige XML-Datei erstellen, die eine große Anzahl verschachtelter Entitäten oder Entitäten mit übermäßiger Größe enthält. Der Parser, der die Limits nicht korrekt durchsetzt, versucht, diese Entitäten zu erweitern, Serverressourcen zu verbrauchen und potenziell einen Denial of Service zu verursachen. Die Komplexität der Ausnutzung hängt von der Fähigkeit des Angreifers ab, die XML-Eingabe zu kontrollieren, und von der Serverkonfiguration.
Applications built on Node.js that utilize the fast-xml-parser package for XML parsing are at risk. This includes web applications, APIs, and backend services that process XML data from external sources. Specifically, applications that allow user-supplied XML input without proper validation are particularly vulnerable.
• nodejs / supply-chain:
npm list fast-xml-parser• nodejs / server:
npm ls | grep fast-xml-parser• generic web: Inspect application logs for errors related to XML parsing or memory exhaustion. Look for unusually large XML payloads.
disclosure
Exploit-Status
EPSS
0.03% (9% Perzentil)
CISA SSVC
CVSS-Vektor
Die primäre Abhilfemaßnahme für CVE-2026-33349 ist das Upgrade auf Version 4.5.5 oder höher von fast-xml-parser. Diese Version behebt die Schwachstelle, indem sie eine robustere Logik für die Überprüfung der maxEntityCount- und maxEntitySize-Limits implementiert, um sicherzustellen, dass sie korrekt durchgesetzt werden, auch wenn sie auf 0 gesetzt sind. Wenn ein Upgrade nicht sofort möglich ist, vermeiden Sie die Verarbeitung von XML-Dateien aus nicht vertrauenswürdigen Quellen. Überprüfen Sie außerdem den Code Ihrer Anwendung auf potenzielle anfällige Eingabepunkte und wenden Sie zusätzliche Sicherheitsmaßnahmen an, wie z. B. die strenge Validierung der XML-Eingabe.
Actualice la biblioteca fast-xml-parser a la versión 5.5.7 o superior. Esto corrige la vulnerabilidad de expansión de entidades XML ilimitada que puede provocar una denegación de servicio. La actualización se puede realizar mediante npm o yarn.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
CVE-2026-33349 is a denial-of-service vulnerability in the fast-xml-parser Node.js package where setting entity limits to 0 bypasses them, leading to memory exhaustion.
You are affected if you are using fast-xml-parser versions prior to 4.5.5 and process untrusted XML input.
Upgrade to version 4.5.5 or later of fast-xml-parser. If immediate upgrade is not possible, implement input validation to restrict entity sizes.
There are currently no publicly known active campaigns exploiting CVE-2026-33349, but the vulnerability's simplicity suggests a potential for exploitation.
Refer to the fast-xml-parser project's repository and release notes for the official advisory and details about the fix.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.