fast-xml-parser संख्यात्मक इकाई विस्तार से प्रभावित है जो सभी इकाई विस्तार सीमाओं को दरकिनार करता है (CVE-2026-26278 के लिए अधूरा समाधान)

## सारांश CVE-2026-26278 के लिए समाधान ने XML इकाई विस्तार सेवा से इनकार (Denial of Service) को रोकने के लिए इकाई विस्तार सीमाएँ (`maxTotalExpansions`, `maxExpandedLength`, `maxEntityCount`, `maxEntitySize`) जोड़ीं। हालाँकि, ये सीमाएँ केवल DOCTYPE-परिभाषित इकाइयों के लिए लागू की जाती हैं। **संख्यात्मक वर्ण संदर्भ** (`&#NNN;` और `&#xHH;`) और मानक XML इकाइयाँ (`<`, `>`, आदि) एक अलग कोड पथ के माध्यम से संसाधित की जाती हैं जो किसी भी विस्तार सीमा को लागू नहीं करता है। एक हमलावर कॉन्फ़िगर की गई सभी सीमाओं को पूरी तरह से दरकिनार करने, अत्यधिक मेमोरी आवंटन और CPU खपत का कारण बनने के लिए बड़ी संख्या में संख्यात्मक इकाई संदर्भों का उपयोग कर सकता है। ## प्रभावित संस्करण fast-xml-parser v5.x से v5.5.3 (और संभवतः npm पर v5.5.5) ## मूल कारण `src/xmlparser/OrderedObjParser.js` में, `replaceEntitiesValue()` फ़ंक्शन में दो अलग-अलग इकाई प्रतिस्थापन लूप हैं: 1. **पंक्ति 638-670**: DOCTYPE इकाइयाँ - `entityExpansionCount` और `currentExpandedLength` ट्रैकिंग के साथ विस्तार गिनती। यह CVE-2026-26278 समाधान था। 2. **पंक्ति 674-677**: `lastEntities` लूप - `num_dec` (`/&#([0-9]{1,7});/g`) और `num_hex` (`/&#x([0-9a-fA-F]{1,6});/g`) सहित मानक इकाइयों को बदलता है। **इस लूप में कोई विस्तार नहीं है