Platform
nodejs
Component
fast-xml-parser
Opgelost in
4.0.1
5.5.6
CVE-2026-33036 is een Denial of Service (DoS) kwetsbaarheid in de fast-xml-parser bibliotheek. Deze kwetsbaarheid maakt het mogelijk voor een aanvaller om via een groot aantal numerieke entiteitreferenties de ingestelde limieten voor entiteituitbreiding te omzeilen, wat kan leiden tot overmatig geheugengebruik en uiteindelijk een DoS. De kwetsbaarheid treft versies van fast-xml-parser tot 5.5.6. Een fix is beschikbaar in versie 5.5.6.
Deze kwetsbaarheid in fast-xml-parser stelt een aanvaller in staat om een Denial of Service (DoS) aan te vallen door een XML-bestand te creëren met een enorm aantal numerieke karakter referenties (zoals &#NNN; en &#xHH;). Hoewel eerdere fixes beperkingen introduceerden voor DOCTYPE-gedefinieerde entiteiten, worden deze beperkingen niet toegepast op numerieke karakter referenties en standaard XML-entiteiten. Een kwaadwillende actor kan deze omzeiling benutten om een excessieve hoeveelheid geheugen te alloceren en de CPU van de server te belasten, wat resulteert in een onbereikbare service. De ernst van de impact hangt af van de rol van de server waarop fast-xml-parser draait. Als de server bijvoorbeeld een cruciale API-gateway is, kan een succesvolle aanval leiden tot een volledige onderbreking van de dienstverlening voor alle afhankelijke applicaties. De data die direct in gevaar is, is niet de data in de XML, maar de server zelf. De aanval richt zich op het uitputten van de resources van de server, waardoor deze niet meer in staat is om legitieme verzoeken te verwerken. De blast radius is afhankelijk van de architectuur van het systeem; een geïsoleerde service is minder kwetsbaar dan een service die deel uitmaakt van een groter, onderling verbonden systeem. Een succesvolle aanval kan leiden tot downtime, verlies van productiviteit en mogelijk reputatieschade.
Op dit moment zijn er geen publiekelijk beschikbare exploitatie rapporten (KEV) voor CVE-2026-33036. Dit betekent dat er geen bekende, kant-en-klare tools of scripts zijn die deze kwetsbaarheid kunnen benutten. Echter, de complexiteit van de aanval is relatief laag, wat suggereert dat het mogelijk is voor een ervaren aanvaller om een exploit te ontwikkelen. Het ontbreken van publieke exploits betekent niet dat de kwetsbaarheid geen risico vormt. De urgentie om deze kwetsbaarheid te patchen is hoog, vooral voor systemen die kritieke data verwerken of publiekelijk toegankelijk zijn. Het is aan te raden om proactief te handelen en de patch zo snel mogelijk toe te passen.
Applications built on Node.js that utilize the fast-xml-parser library for XML parsing are at risk. This includes applications that process XML data from external sources, such as APIs or user uploads. Specifically, applications that have not upgraded to version 5.5.6 or later are vulnerable.
• nodejs / server:
npm audit fast-xml-parser• nodejs / server:
find / -name "node_modules/fast-xml-parser" -print• nodejs / server:
ps aux | grep 'fast-xml-parser'disclosure
Exploit Status
EPSS
0.05% (16% percentiel)
CISA SSVC
CVSS-vector
Om deze kwetsbaarheid te verhelpen, wordt dringend aanbevolen om fast-xml-parser te upgraden naar versie 5.5.6 of hoger. Deze versie bevat de benodigde correcties om numerieke karakter referenties te limiteren en de DoS-aanval te voorkomen. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het valideren en saneren van XML-invoer voordat deze door fast-xml-parser wordt verwerkt. Dit kan bijvoorbeeld door de grootte van het XML-bestand te beperken of door het aantal numerieke karakter referenties te controleren. Het is cruciaal om na de upgrade of implementatie van een workaround de functionaliteit van de applicatie te verifiëren om er zeker van te zijn dat deze correct werkt en dat de kwetsbaarheid daadwerkelijk is verholpen. Controleer de logbestanden op ongebruikelijke CPU- of geheugengebruik na de implementatie om te bevestigen dat de mitigatie effectief is.
Actualice la versión de fast-xml-parser a la 5.5.6 o superior. Esto corrige la vulnerabilidad de expansión de entidades XML que podría permitir ataques de denegación de servicio. Ejecute `npm install fast-xml-parser@latest` o `yarn upgrade fast-xml-parser@latest` para actualizar.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-33036 is a Denial of Service vulnerability in fast-xml-parser where numeric character references bypass expansion limits, leading to excessive memory consumption.
You are affected if you are using fast-xml-parser versions prior to 5.5.6 and process XML data containing numeric character references.
Upgrade to fast-xml-parser version 5.5.6 or later to mitigate the vulnerability. Consider input validation as an interim measure.
There is currently no indication of active exploitation, but the vulnerability is relatively easy to exploit.
Refer to the fast-xml-parser project's release notes and GitHub repository for the latest information and advisory regarding CVE-2026-33036.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.