प्लेटफ़ॉर्म
nodejs
घटक
fast-xml-parser
में ठीक किया गया
4.0.1
5.5.6
टेम्पो के tempo/charge और tempo/session घटकों में कई सुरक्षा कमजोरियां पाई गई हैं। इन कमजोरियों का उपयोग लेन-देन हैश को फिर से चलाने, मुफ्त चार्ज अनुरोध करने और शुल्क भुगतानकर्ता को हेरफेर करने जैसे अवांछित व्यवहारों को करने के लिए किया जा सकता है। ये कमजोरियां टेम्पो के पुराने संस्करणों को प्रभावित करती हैं, लेकिन संस्करण 0.4.8 में एक पैच जारी किया गया है।
CVE-2026-33036 एक गंभीर भेद्यता है जो fast-xml-parser लाइब्रेरी में पाई गई है। एक हमलावर बड़ी संख्या में संख्यात्मक इकाई संदर्भों (numeric entity references) का उपयोग करके इस भेद्यता का फायदा उठा सकता है। यह लाइब्रेरी XML डेटा को पार्स करने के लिए उपयोग की जाती है, और यदि यह भेद्यता मौजूद है, तो हमलावर अत्यधिक मेमोरी आवंटन और CPU खपत का कारण बन सकता है, जिससे सेवा से इनकार (Denial of Service - DoS) हो सकता है। हमलावर XML इनपुट में बड़ी संख्या में &#NNN; और &#xHH; संदर्भों को सम्मिलित करके, लाइब्रेरी के उन कोड पथों को सक्रिय कर सकता है जो किसी भी विस्तार सीमा को लागू नहीं करते हैं। इससे लाइब्रेरी अत्यधिक मात्रा में मेमोरी आवंटित कर सकती है, जिससे सिस्टम अस्थिर हो सकता है या क्रैश हो सकता है। इस भेद्यता का उपयोग संवेदनशील डेटा तक अनधिकृत पहुंच प्राप्त करने या सिस्टम संसाधनों को नियंत्रित करने के लिए किया जा सकता है, खासकर यदि लाइब्रेरी का उपयोग वेब अनुप्रयोगों में किया जा रहा है जो उपयोगकर्ता द्वारा प्रदान किए गए XML डेटा को संसाधित करते हैं। इस भेद्यता का 'ब्लास्ट रेडियस' व्यापक हो सकता है, क्योंकि यह उन सभी अनुप्रयोगों को प्रभावित कर सकता है जो भेद्य संस्करणों का उपयोग करते हैं।
CVE-2026-33036 के लिए अभी तक सार्वजनिक रूप से कोई शोषण रिपोर्ट नहीं है (KEV - No public exploitation reports)। इसका मतलब है कि इस भेद्यता का फायदा उठाने के लिए कोई ज्ञात सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (Proof-of-Concept - PoC) नहीं है। हालांकि, भेद्यता की गंभीरता को देखते हुए, यह संभव है कि भविष्य में शोषण विकसित हो सकते हैं। इस भेद्यता को गंभीरता से लेना और जल्द से जल्द पैच लागू करना महत्वपूर्ण है, भले ही इसका सार्वजनिक रूप से शोषण नहीं किया गया है। भेद्यता की उच्च गंभीरता (CVSS स्कोर 7.5) इंगित करती है कि इसका फायदा उठाना अपेक्षाकृत आसान हो सकता है, और हमलावर जल्द ही शोषण विकसित कर सकते हैं।
Applications built on Node.js that utilize the fast-xml-parser library for XML parsing are at risk. This includes applications that process XML data from external sources, such as APIs or user uploads. Specifically, applications that have not upgraded to version 5.5.6 or later are vulnerable.
• nodejs / server:
npm audit fast-xml-parser• nodejs / server:
find / -name "node_modules/fast-xml-parser" -print• nodejs / server:
ps aux | grep 'fast-xml-parser'disclosure
एक्सप्लॉइट स्थिति
EPSS
0.05% (16% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-33036 को ठीक करने के लिए, fast-xml-parser को संस्करण 5.5.6 या उससे ऊपर के संस्करण में अपग्रेड करना आवश्यक है। यह संस्करण संख्यात्मक इकाई संदर्भों के लिए विस्तार सीमाओं को लागू करके भेद्यता को ठीक करता है। यदि अपग्रेड करना तत्काल संभव नहीं है, तो एक अस्थायी समाधान के रूप में, XML इनपुट को मान्य करने और बड़ी संख्या में संख्यात्मक इकाई संदर्भों वाले इनपुट को अस्वीकार करने के लिए इनपुट सत्यापन लागू किया जा सकता है। यह सुनिश्चित करें कि XML पार्सिंग के दौरान उपयोग किए जा रहे सभी इनपुट को ठीक से साफ और मान्य किया गया है। अपग्रेड के बाद, यह सत्यापित करना महत्वपूर्ण है कि भेद्यता ठीक हो गई है। आप परीक्षण XML इनपुट का उपयोग करके ऐसा कर सकते हैं जिसमें बड़ी संख्या में संख्यात्मक इकाई संदर्भ शामिल हैं और सुनिश्चित करें कि लाइब्रेरी अब अत्यधिक मेमोरी आवंटित नहीं कर रही है या क्रैश नहीं हो रही है। अपग्रेड प्रक्रिया को सावधानीपूर्वक योजनाबद्ध और क्रियान्वित किया जाना चाहिए ताकि सिस्टम की उपलब्धता को कम से कम किया जा सके।
Actualice la versión de fast-xml-parser a la 5.5.6 o superior. Esto corrige la vulnerabilidad de expansión de entidades XML que podría permitir ataques de denegación de servicio. Ejecute `npm install fast-xml-parser@latest` o `yarn upgrade fast-xml-parser@latest` para actualizar.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-33036 fast-xml-parser लाइब्रेरी में एक भेद्यता है जो हमलावरों को अत्यधिक मेमोरी आवंटन और CPU खपत का कारण बनकर सेवा से इनकार (DoS) करने की अनुमति देती है।
यदि आप fast-xml-parser के संस्करण 5.x से 5.5.3 (और संभवतः 5.5.5 npm पर) का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2026-33036 को ठीक करने के लिए, fast-xml-parser को संस्करण 5.5.6 या उससे ऊपर के संस्करण में अपग्रेड करें।
CVE-2026-33036 के लिए अभी तक सार्वजनिक रूप से कोई शोषण रिपोर्ट नहीं है, लेकिन भेद्यता की गंभीरता को देखते हुए, भविष्य में शोषण विकसित हो सकते हैं।
आप NVD (National Vulnerability Database) पर अधिक जानकारी प्राप्त कर सकते हैं: [https://nvd.nist.gov/vuln/detail/CVE-2026-33036](https://nvd.nist.gov/vuln/detail/CVE-2026-33036)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।