Plateforme
nodejs
Composant
fast-xml-parser
Corrigé dans
4.0.1
5.5.6
CVE-2026-33036 est une vulnérabilité de type Denial of Service (DoS) affectant la bibliothèque fast-xml-parser. Elle permet à un attaquant de contourner les limites d'expansion d'entités configurées en utilisant un grand nombre de références numériques, entraînant une consommation excessive de mémoire. Cette vulnérabilité affecte les versions antérieures à la version 5.5.6, dans laquelle un correctif a été implémenté.
Un attaquant malveillant peut exploiter cette vulnérabilité en injectant un XML contenant un nombre massif de références de caractères numériques (&#NNN; et &#xHH;). Contrairement aux entités définies dans la section DOCTYPE, ces références ne sont pas soumises aux limites de développement configurées (maxTotalExpansions, maxExpandedLength, maxEntityCount, maxEntitySize). L'attaquant peut ainsi provoquer une allocation excessive de mémoire et une consommation importante du processeur, conduisant à un déni de service (DoS). L'impact est significatif car un DoS peut rendre un service indisponible, perturbant les opérations et potentiellement impactant la réputation. Dans des environnements où fast-xml-parser est utilisé pour traiter des données XML provenant de sources non fiables, cette vulnérabilité pourrait être exploitée pour paralyser l'application. Le rayon d'impact dépend de l'architecture de l'application et de la criticité du service utilisant fast-xml-parser. Si l'application est exposée publiquement, l'impact peut être global. Les données traitées par l'application, bien que non directement compromises par cette vulnérabilité, peuvent devenir inaccessibles en raison du DoS.
À l'heure actuelle, il n'y a pas de rapports publics d'exploitation active de CVE-2026-33036. Cependant, la vulnérabilité est significative en raison de sa capacité à provoquer un déni de service et de la relative simplicité de son exploitation. L'absence de preuve d'exploitation publique ne signifie pas que la vulnérabilité ne sera pas exploitée à l'avenir. Il est donc fortement recommandé d'appliquer la correction dès que possible. La vulnérabilité a été découverte et corrigée par les développeurs de fast-xml-parser, ce qui indique une prise de conscience de la menace et une action rapide pour la résoudre. La priorité de correction devrait être élevée, surtout si l'application traite des données XML provenant de sources non fiables.
Applications built on Node.js that utilize the fast-xml-parser library for XML parsing are at risk. This includes applications that process XML data from external sources, such as APIs or user uploads. Specifically, applications that have not upgraded to version 5.5.6 or later are vulnerable.
• nodejs / server:
npm audit fast-xml-parser• nodejs / server:
find / -name "node_modules/fast-xml-parser" -print• nodejs / server:
ps aux | grep 'fast-xml-parser'disclosure
Statut de l'Exploit
EPSS
0.05% (percentile 16%)
CISA SSVC
Vecteur CVSS
La solution recommandée est de mettre à niveau fast-xml-parser vers la version 5.5.6 ou supérieure. Cette version inclut une correction qui applique les limites de développement aux références de caractères numériques, empêchant ainsi l'exploitation de la vulnérabilité. Si la mise à niveau n'est pas immédiatement possible, une solution de contournement temporaire consiste à valider et à nettoyer rigoureusement les données XML entrantes pour supprimer ou limiter le nombre de références de caractères numériques avant de les traiter avec fast-xml-parser. Il est crucial de tester minutieusement toute solution de contournement pour s'assurer qu'elle n'affecte pas la fonctionnalité de l'application. Après la mise à niveau ou l'implémentation d'un contournement, vérifiez que le traitement des données XML ne provoque plus une consommation excessive de ressources système en soumettant des fichiers XML contenant un grand nombre de références de caractères numériques.
Actualice la versión de fast-xml-parser a la 5.5.6 o superior. Esto corrige la vulnerabilidad de expansión de entidades XML que podría permitir ataques de denegación de servicio. Ejecute `npm install fast-xml-parser@latest` o `yarn upgrade fast-xml-parser@latest` para actualizar.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-33036 is a Denial of Service vulnerability in fast-xml-parser where numeric character references bypass expansion limits, leading to excessive memory consumption.
You are affected if you are using fast-xml-parser versions prior to 5.5.6 and process XML data containing numeric character references.
Upgrade to fast-xml-parser version 5.5.6 or later to mitigate the vulnerability. Consider input validation as an interim measure.
There is currently no indication of active exploitation, but the vulnerability is relatively easy to exploit.
Refer to the fast-xml-parser project's release notes and GitHub repository for the latest information and advisory regarding CVE-2026-33036.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.