प्लेटफ़ॉर्म
nodejs
घटक
fast-xml-parser
में ठीक किया गया
4.0.1
5.5.7
CVE-2026-33349, fast-xml-parser में एक भेद्यता है, जो JavaScript ट्रुथी जांच का उपयोग करके maxEntityCount और maxEntitySize कॉन्फ़िगरेशन सीमाओं का मूल्यांकन करता है। एक हमलावर XML इनपुट प्रदान करके अनबाउंडेड एंटिटी विस्तार को ट्रिगर कर सकता है, जिससे मेमोरी खत्म हो सकती है और सेवा में रुकावट आ सकती है। यह भेद्यता 5.5.7 से पहले के संस्करणों को प्रभावित करती है। संस्करण 5.5.7 में इस समस्या को ठीक कर दिया गया है।
CVE-2026-33349 भेद्यता fast-xml-parser में DocTypeReader घटक के भीतर maxEntityCount और maxEntitySize सीमाओं के प्रबंधन में निहित है। कोड इन सीमाओं का मूल्यांकन करने के लिए JavaScript 'truthy' जाँचों का उपयोग करता है। यदि कोई डेवलपर इनमें से किसी भी सीमा को स्पष्ट रूप से 0 पर सेट करता है - सभी संस्थाओं को पूरी तरह से अक्षम करने या इकाई आकार को शून्य बाइट तक सीमित करने के इरादे से - JavaScript में 0 की 'falsy' प्रकृति के कारण सुरक्षा स्थितियाँ लघु-सर्किट हो जाती हैं, प्रभावी रूप से इन सीमाओं को बायपास कर देती हैं। ऐसे एप्लिकेशन को XML इनपुट प्रदान करने में सक्षम एक हमलावर असीमित इकाई विस्तार को ट्रिगर कर सकता है, जिससे इनकार-ऑफ़-सर्विस (DoS) स्थिति हो सकती है या एप्लिकेशन संदर्भ के आधार पर मनमाना कोड निष्पादन हो सकता है।
यह भेद्यता उन अनुप्रयोगों में शोषण योग्य है जो बाहरी स्रोतों से XML फ़ाइलों को संसाधित करने के लिए fast-xml-parser का उपयोग करते हैं, खासकर यदि maxEntityCount और maxEntitySize सीमाओं को स्पष्ट रूप से 0 पर सेट किया गया है। एक हमलावर एक दुर्भावनापूर्ण XML फ़ाइल बना सकता है जिसमें बड़ी संख्या में नेस्टेड संस्थाएँ या अत्यधिक आकार की संस्थाएँ हों। पार्सर, सीमाओं को सही ढंग से लागू करने में विफल रहने पर, इन संस्थाओं का विस्तार करने का प्रयास करेगा, सर्वर संसाधनों का उपभोग करेगा और संभावित रूप से इनकार-ऑफ़-सर्विस का कारण बनेगा। शोषण की जटिलता हमलावर की XML इनपुट को नियंत्रित करने की क्षमता और सर्वर कॉन्फ़िगरेशन पर निर्भर करती है।
Applications built on Node.js that utilize the fast-xml-parser package for XML parsing are at risk. This includes web applications, APIs, and backend services that process XML data from external sources. Specifically, applications that allow user-supplied XML input without proper validation are particularly vulnerable.
• nodejs / supply-chain:
npm list fast-xml-parser• nodejs / server:
npm ls | grep fast-xml-parser• generic web: Inspect application logs for errors related to XML parsing or memory exhaustion. Look for unusually large XML payloads.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.03% (9% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-33349 के लिए प्राथमिक शमन fast-xml-parser को संस्करण 4.5.5 या उच्चतर में अपग्रेड करना है। यह संस्करण maxEntityCount और maxEntitySize सीमाओं की जाँच के लिए अधिक मजबूत तर्क को लागू करके इस भेद्यता को ठीक करता है, यह सुनिश्चित करता है कि उन्हें 0 पर सेट होने पर भी सही ढंग से लागू किया जाए। यदि अपग्रेड तुरंत संभव नहीं है, तो अविश्वसनीय स्रोतों से XML फ़ाइलों को संसाधित करने से बचें। इसके अतिरिक्त, अपने एप्लिकेशन कोड की समीक्षा करें ताकि किसी भी संभावित कमजोर इनपुट बिंदुओं की पहचान की जा सके और अतिरिक्त सुरक्षा उपायों को लागू करें, जैसे कि सख्त XML इनपुट सत्यापन।
Actualice la biblioteca fast-xml-parser a la versión 5.5.7 o superior. Esto corrige la vulnerabilidad de expansión de entidades XML ilimitada que puede provocar una denegación de servicio. La actualización se puede realizar mediante npm o yarn.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
JavaScript में, 'truthy' किसी भी मान को संदर्भित करता है जिसका मूल्यांकन बूलियन संदर्भ में true के रूप में किया जाता है। संख्या 0 को 'falsy' माना जाता है, जिसका अर्थ है कि इसका मूल्यांकन false के रूप में किया जाता है।
fast-xml-parser का संस्करण 4.5.5 इस भेद्यता को ठीक करता है, इकाई सीमाओं के लिए सुरक्षित जाँच तर्क को लागू करके, जिससे उन्हें बायपास होने से रोका जा सके।
यदि तुरंत अपग्रेड करना संभव नहीं है, तो अविश्वसनीय स्रोतों से XML फ़ाइलों को संसाधित करने से बचें और अपने कोड की संभावित कमजोर इनपुट बिंदुओं के लिए जाँच करें।
यदि आपका एप्लिकेशन fast-xml-parser का उपयोग करता है और maxEntityCount या maxEntitySize को 0 पर सेट किया है, तो यह संभवतः कमजोर है।
यह भेद्यता असीमित इकाई विस्तार के माध्यम से सर्वर संसाधनों का उपभोग करके इनकार-ऑफ़-सर्विस (DoS) हमले को सक्षम कर सकती है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।