Plateforme
nodejs
Composant
fast-xml-parser
Corrigé dans
4.0.1
5.5.7
CVE-2026-33349 est une vulnérabilité de type déni de service (DoS) affectant fast-xml-parser. Elle permet à un attaquant de provoquer une expansion d'entité non bornée en fournissant un input XML malicieux, ce qui peut mener à une exhaustion de la mémoire et un DoS. Cette vulnérabilité affecte les versions antérieures à 5.5.7, et a été corrigée dans la version 5.5.7.
La vulnérabilité CVE-2026-33349 dans fast-xml-parser réside dans la gestion des limites maxEntityCount et maxEntitySize au sein du composant DocTypeReader. Le code utilise des vérifications 'truthy' en JavaScript pour évaluer ces limites. Si un développeur définit explicitement l'une de ces limites à 0 – dans l'intention de désactiver complètement les entités ou de restreindre la taille des entités à zéro octet – la nature 'falsy' de 0 en JavaScript provoque l'interruption des conditions de protection, contournant ainsi effectivement les limites. Un attaquant capable de fournir une entrée XML à une telle application peut déclencher une expansion illimitée d'entités, entraînant une condition de déni de service (DoS) ou, potentiellement, l'exécution de code arbitraire, selon le contexte de l'application.
Cette vulnérabilité est exploitable dans les applications qui utilisent fast-xml-parser pour traiter des fichiers XML provenant de sources externes, en particulier si les limites maxEntityCount et maxEntitySize ont été explicitement configurées sur 0. Un attaquant pourrait créer un fichier XML malveillant contenant un grand nombre d'entités imbriquées ou d'entités de taille excessive. Le parser, ne parvenant pas à appliquer correctement les limites, tentera d'étendre ces entités, consommant des ressources serveur et pouvant potentiellement provoquer un déni de service. La complexité de l'exploitation dépend de la capacité de l'attaquant à contrôler l'entrée XML et de la configuration du serveur.
Applications built on Node.js that utilize the fast-xml-parser package for XML parsing are at risk. This includes web applications, APIs, and backend services that process XML data from external sources. Specifically, applications that allow user-supplied XML input without proper validation are particularly vulnerable.
• nodejs / supply-chain:
npm list fast-xml-parser• nodejs / server:
npm ls | grep fast-xml-parser• generic web: Inspect application logs for errors related to XML parsing or memory exhaustion. Look for unusually large XML payloads.
disclosure
Statut de l'Exploit
EPSS
0.03% (percentile 9%)
CISA SSVC
Vecteur CVSS
L'atténuation principale pour CVE-2026-33349 est de mettre à niveau vers la version 4.5.5 ou ultérieure de fast-xml-parser. Cette version corrige la vulnérabilité en mettant en œuvre une logique plus robuste pour la vérification des limites maxEntityCount et maxEntitySize, garantissant qu'elles sont correctement appliquées, même lorsqu'elles sont définies sur 0. Si la mise à niveau n'est pas immédiatement possible, évitez de traiter des fichiers XML provenant de sources non fiables. De plus, examinez le code de votre application pour identifier les points d'entrée potentiellement vulnérables et appliquez des mesures de sécurité supplémentaires, telles que la validation stricte de l'entrée XML.
Actualice la biblioteca fast-xml-parser a la versión 5.5.7 o superior. Esto corrige la vulnerabilidad de expansión de entidades XML ilimitada que puede provocar una denegación de servicio. La actualización se puede realizar mediante npm o yarn.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
En JavaScript, 'truthy' fait référence à toute valeur qui s'évalue à vrai dans un contexte booléen. Le nombre 0 est considéré comme 'falsy', ce qui signifie qu'il s'évalue à faux.
La version 4.5.5 de fast-xml-parser corrige la vulnérabilité en mettant en œuvre une logique de vérification plus sûre pour les limites d'entité, empêchant ainsi leur contournement.
Si la mise à niveau n'est pas possible immédiatement, évitez de traiter des fichiers XML provenant de sources non fiables et examinez votre code à la recherche de points d'entrée potentiellement vulnérables.
Si votre application utilise fast-xml-parser et a configuré maxEntityCount ou maxEntitySize sur 0, il est probable qu'elle soit vulnérable.
Cette vulnérabilité pourrait permettre une attaque par déni de service (DoS) en consommant des ressources serveur grâce à l'expansion illimitée d'entités.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.