Platform
nodejs
Component
svgo
Opgelost in
2.1.1
3.0.1
4.0.1
2.8.2
3.3.4
4.0.2
2.8.1
CVE-2026-29074 beschrijft een Denial of Service (DoS) kwetsbaarheid in SVGO, een Node.js tool voor het optimaliseren van SVG-afbeeldingen. Een kwaadwillende actor kan een klein XML-bestand met recursieve entities aan SVGO aanbieden, waardoor de applicatie vastloopt of crasht door een 'JavaScript heap out of memory' fout. Deze kwetsbaarheid treft versies van SVGO die ouder zijn dan 2.8.1. Een update naar versie 2.8.1 of hoger is beschikbaar om dit probleem te verhelpen.
Deze kwetsbaarheid stelt een aanvaller in staat om een Denial of Service (DoS) aan te vallen op systemen die SVGO gebruiken. Door een speciaal ontworpen XML-bestand aan SVGO aan te bieden, kan de applicatie vastlopen of crashen, waardoor de beschikbaarheid van de dienst wordt aangetast. De impact kan variëren afhankelijk van de kritikaliteit van de dienst die SVGO gebruikt. In scenario's waar SVGO wordt gebruikt in een geautomatiseerde build-pipeline of een webapplicatie, kan dit leiden tot aanzienlijke verstoringen. Het misbruik van deze kwetsbaarheid vereist geen authenticatie en kan relatief eenvoudig worden uitgevoerd.
Deze kwetsbaarheid werd publiekelijk bekendgemaakt op 4 maart 2026. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de eenvoud van het misbruik maakt het waarschijnlijk dat er in de toekomst exploits zullen verschijnen. De kwetsbaarheid is niet opgenomen in de CISA KEV catalogus op het moment van schrijven. De impact is hoog vanwege de potentiële beschikbaarheid van de dienst.
Applications and services that utilize SVGO for SVG image optimization are at risk. This includes web applications, build pipelines, and any automated processes that process SVG files. Specifically, projects relying on older versions of SVGO (prior to 2.8.1) and those lacking robust input validation are particularly vulnerable.
• nodejs / supply-chain: Monitor Node.js processes for excessive memory consumption and JavaScript heap out of memory errors.
ps aux | grep node | awk '{print $6, $7}' | sort -n• nodejs / supply-chain: Check for SVGO versions prior to 2.8.1 installed in your project dependencies.
npm ls svgo• generic web: Examine web server access logs for requests containing XML files with unusual or deeply nested custom entities. Look for patterns indicative of entity expansion attempts.
disclosure
Exploit Status
EPSS
0.06% (17% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-29074 is het upgraden van SVGO naar versie 2.8.1 of hoger. Indien een directe upgrade niet mogelijk is, kan het implementeren van een Web Application Firewall (WAF) helpen om kwaadaardige XML-bestanden te blokkeren voordat ze SVGO bereiken. Controleer de input van SVG-bestanden op ongebruikelijke entiteiten en beperk de diepte van entity-expansie. Monitor de geheugengebruik van de Node.js processen die SVGO gebruiken om tekenen van geheugenlekken te detecteren. Na de upgrade, controleer de functionaliteit van de SVG-optimalisatie om er zeker van te zijn dat de update geen onverwachte bijwerkingen veroorzaakt.
Actualice la biblioteca SVGO a la versión 2.8.1, 3.3.3 o 4.0.1 o superior. Esto corrige la vulnerabilidad de expansión de entidades XML (Billion Laughs) que puede provocar una denegación de servicio.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-29074 is a Denial of Service vulnerability in SVGO, a Node.js library, where malicious XML files can cause memory exhaustion and application crashes.
You are affected if you are using SVGO versions prior to 2.8.1 and processing untrusted XML files.
Upgrade SVGO to version 2.8.1 or later. If upgrading isn't possible, implement input validation to restrict custom entities in XML files.
There is currently no confirmed active exploitation of CVE-2026-29074, but its simplicity suggests a potential for future exploitation.
Refer to the SVGO project's repository and release notes for the official advisory and details on the fix: [https://github.com/svg/svgo](https://github.com/svg/svgo)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.