MEDIUMCVE-2026-33349CVSS 5.9

fast-xml-parser における JavaScript の falsy 評価により、エンティティ展開制限がゼロに設定された場合にバイパスされる

Q: CVE-2026-33349 とは何ですか？（fast-xml-parser の Denial of Service (DoS)）

JavaScript において、'truthy' とは、ブールコンテキストで true と評価される任意の値を指します。数値 `0` は 'falsy' と見なされ、false と評価されます。

Q: fast-xml-parser の CVE-2026-33349 による影響を受けていますか？

fast-xml-parser のバージョン 4.5.5 は、エンティティ制限のより安全なチェックロジックを実装することで、この脆弱性を修正し、制限がバイパスされないようにします。

Q: fast-xml-parser の CVE-2026-33349 を修正するにはどうすればよいですか？

すぐにアップグレードできない場合は、信頼できないソースからの XML ファイルの処理を避け、コードを潜在的な脆弱な入力ポイントについて調べてください。

Q: CVE-2026-33349 は積極的に悪用されていますか？

アプリケーションが fast-xml-parser を使用しており、`maxEntityCount` または `maxEntitySize` を `0` に設定している場合は、脆弱である可能性があります。

Q: CVE-2026-33349 に関する fast-xml-parser の公式アドバイザリはどこで確認できますか？

この脆弱性は、無制限のエンティティ展開によってサーバーリソースを消費することにより、Denial of Service (DoS) 攻撃を可能にする可能性があります。

プラットフォーム

nodejs

コンポーネント

fast-xml-parser

修正版

4.0.1

5.5.7

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-33349は、fast-xml-parserにおけるサービス拒否（DoS）の脆弱性です。この脆弱性は、maxEntityCountとmaxEntitySizeの設定がJavaScriptのtruthyチェックによって評価される際に、0がfalsyと評価されるために制限が回避され、攻撃者がXML入力を操作してメモリを枯渇させ、DoS攻撃を引き起こす可能性があります。この脆弱性はfast-xml-parserのバージョン5.5.7で修正されています。

影響と攻撃シナリオ

CVE-2026-33349 は、fast-xml-parser の DocTypeReader コンポーネント内の maxEntityCount および maxEntitySize の制限の処理に起因します。コードはこれらの制限を評価するために JavaScript の 'truthy' チェックを使用します。開発者がこれらの制限のいずれかを明示的に 0 に設定した場合（すべてのエンティティを完全に禁止するか、エンティティサイズを 0 バイトに制限する意図で）、JavaScript における 0 の 'falsy' な性質により、保護条件が短絡し、制限が効果的にバイパスされます。 XML 入力をそのようなアプリケーションに供給できる攻撃者は、無制限のエンティティ展開をトリガーし、Denial of Service (DoS) 状態につながるか、アプリケーションのコンテキストに応じて任意のコードの実行につながる可能性があります。

悪用の状況

この脆弱性は、fast-xml-parser を使用して外部ソースから XML ファイルを処理するアプリケーションで悪用可能です。特に、maxEntityCount および maxEntitySize の制限が明示的に 0 に設定されている場合にそうです。攻撃者は、多数のネストされたエンティティまたは過剰なサイズのエンティティを含む悪意のある XML ファイルを作成する可能性があります。制限を正しく適用できないパーサーは、これらのエンティティの展開を試み、サーバーリソースを消費し、Denial of Service を引き起こす可能性があります。悪用の複雑さは、攻撃者が XML 入力を制御できる能力とサーバー構成に依存します。

リスク対象者翻訳中…

Applications built on Node.js that utilize the fast-xml-parser package for XML parsing are at risk. This includes web applications, APIs, and backend services that process XML data from external sources. Specifically, applications that allow user-supplied XML input without proper validation are particularly vulnerable.

検出手順翻訳中…

• nodejs / supply-chain:

  npm list fast-xml-parser

• nodejs / server:

npm ls | grep fast-xml-parser

• generic web: Inspect application logs for errors related to XML parsing or memory exhaustion. Look for unusually large XML payloads.

攻撃タイムライン

2026-03-19Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

NextGuard100% まだ脆弱

EPSS

0.03% (9% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能

影響を受けるソフトウェア

コンポーネントfast-xml-parser

ベンダーosv

影響範囲修正版

>= 4.0.0-beta.3, < 5.5.7 – >= 4.0.0-beta.3, < 5.5.74.0.1

4.0.0-beta.35.5.7

弱点分類 (CWE)

CWE-1284

タイムライン

予約済み2026-03-18
公開日2026-03-19
更新日2026-04-08
EPSS 更新日2026-04-01

公開後3日でパッチ適用

緩和策と回避策

CVE-2026-33349 の主な軽減策は、fast-xml-parser をバージョン 4.5.5 以降にアップグレードすることです。このバージョンは、maxEntityCount および maxEntitySize の制限のチェックに、より堅牢なロジックを実装することで、この脆弱性を修正します。アップグレードがすぐに不可能な場合は、信頼できないソースからの XML ファイルの処理を避けてください。さらに、アプリケーションコードを調べて潜在的な脆弱な入力ポイントを特定し、厳格な XML 入力検証などの追加のセキュリティ対策を適用することをお勧めします。

修正方法翻訳中…

Actualice la biblioteca fast-xml-parser a la versión 5.5.7 o superior. Esto corrige la vulnerabilidad de expansión de entidades XML ilimitada que puede provocar una denegación de servicio. La actualización se puede realizar mediante npm o yarn.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-33349 とは何ですか？（fast-xml-parser の Denial of Service (DoS)）

JavaScript において、'truthy' とは、ブールコンテキストで true と評価される任意の値を指します。数値 0 は 'falsy' と見なされ、false と評価されます。

fast-xml-parser の CVE-2026-33349 による影響を受けていますか？