fast-xml-parser が、すべてのエンティティ展開制限を回避する数値エンティティ展開の影響を受ける (CVE-2026-26278 の不完全な修正)

攻撃者は、大量の数値文字参照（&#NNN; および &#xHH;）をXMLデータに埋め込むことで、fast-xml-parserのメモリ消費とCPU使用率を著しく増加させ、サービス拒否（DoS）を引き起こす可能性があります。この脆弱性は、DOCTYPE定義されたエンティティに対する制限は適用されるものの、数値文字参照や標準XMLエンティティの処理が別のコードパスで行われ、制限が適用されないことに起因します。攻撃者は、この制限の抜け穴を利用して、設定されたmaxTotalExpansions、maxExpandedLength、maxEntityCount、maxEntitySizeといった制限を完全に回避できます。影響を受けるシステムは、XMLデータを処理するアプリケーションやサービスであり、特にユーザーが提供するXMLデータをパースする場合にリスクが高まります。攻撃に成功した場合、アプリケーションの停止、システムリソースの枯渇、さらにはシステム全体の可用性低下につながる可能性があります。データ漏洩のリスクは直接的には低いですが、DoS攻撃によって機密情報へのアクセスが妨げられる可能性があります。攻撃の範囲は、fast-xml-parserを使用しているアプリケーションの規模と重要性によって大きく異なります。

Applications built on Node.js that utilize the fast-xml-parser library for XML parsing are at risk. This includes applications that process XML data from external sources, such as APIs or user uploads. Specifically, applications that have not upgraded to version 5.5.6 or later are vulnerable.

• nodejs / server:

npm audit fast-xml-parser

• nodejs / server:

find / -name "node_modules/fast-xml-parser" -print

• nodejs / server:

ps aux | grep 'fast-xml-parser'

1. 2026-03-17Disclosure

   disclosure

1. 予約済み2026-03-17
2. 公開日2026-03-17
3. 更新日2026-03-25
4. EPSS 更新日2026-03-27

この脆弱性に対処するには、fast-xml-parserをバージョン5.5.6以上にアップデートすることを強く推奨します。バージョン5.5.6では、数値文字参照の処理にも制限が適用されるように修正されています。アップデートが直ちに実行できない場合は、XML入力の検証を強化し、数値文字参照の数を制限するなどの回避策を検討してください。例えば、XMLパース前に正規表現を使用して、数値文字参照の数を制限することができます。ただし、この回避策は完全な防御策ではなく、攻撃者が他の方法で脆弱性を悪用する可能性も考慮する必要があります。アップデート後、XMLデータのパースが正常に機能し、メモリ消費量やCPU使用率が異常に増加しないことを確認してください。テスト環境でアップデートを検証し、本番環境に適用する前に十分なテストを実施することを推奨します。アップデートの適用順序は、fast-xml-parserに依存する他のライブラリやアプリケーションとの互換性を考慮して決定してください。