Platform
nodejs
Component
fast-xml-parser
Opgelost in
4.0.1
5.5.7
CVE-2026-33349 is een Denial of Service (DoS) kwetsbaarheid in de DocTypeReader van fast-xml-parser. Door onjuiste validatie van maxEntityCount en maxEntitySize kunnen aanvallers via XML input onbegrensde entity expansie veroorzaken. Dit leidt tot geheugenuitputting en een DoS aanval. De kwetsbaarheid treft versies lager dan 5.5.7. Een fix is beschikbaar in versie 5.5.7.
De kwetsbaarheid CVE-2026-33349 in fast-xml-parser zit in de manier waarop de maxEntityCount en maxEntitySize limieten worden behandeld binnen de DocTypeReader component. De code gebruikt JavaScript 'truthy' controles om deze limieten te evalueren. Als een ontwikkelaar een van deze limieten expliciet op 0 zet – met de intentie om alle entiteiten volledig uit te schakelen of de entiteitsgrootte te beperken tot nul bytes – zorgt de 'falsy' aard van 0 in JavaScript ervoor dat de beschermingscondities worden onderbroken, waardoor de limieten effectief worden omzeild. Een aanvaller die XML-invoer aan een dergelijke applicatie kan leveren, kan een onbeperkte entiteitsuitbreiding triggeren, wat kan leiden tot een denial-of-service (DoS) toestand of potentieel tot de uitvoering van willekeurige code, afhankelijk van de applicatiecontext.
Deze kwetsbaarheid is uitbuitbaar in applicaties die fast-xml-parser gebruiken om XML-bestanden van externe bronnen te verwerken, vooral als de maxEntityCount en maxEntitySize limieten expliciet op 0 zijn ingesteld. Een aanvaller zou een kwaadaardig XML-bestand kunnen maken dat een groot aantal geneste entiteiten of entiteiten met overmatige groottes bevat. De parser, die de limieten niet correct afdwingt, zal proberen deze entiteiten uit te breiden, serverresources te verbruiken en mogelijk een denial of service te veroorzaken. De complexiteit van de exploitatie hangt af van het vermogen van de aanvaller om de XML-invoer te controleren en van de serverconfiguratie.
Applications built on Node.js that utilize the fast-xml-parser package for XML parsing are at risk. This includes web applications, APIs, and backend services that process XML data from external sources. Specifically, applications that allow user-supplied XML input without proper validation are particularly vulnerable.
• nodejs / supply-chain:
npm list fast-xml-parser• nodejs / server:
npm ls | grep fast-xml-parser• generic web: Inspect application logs for errors related to XML parsing or memory exhaustion. Look for unusually large XML payloads.
disclosure
Exploit Status
EPSS
0.03% (9% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-33349 is het upgraden naar versie 4.5.5 of hoger van fast-xml-parser. Deze versie corrigeert de kwetsbaarheid door een robuustere logica te implementeren voor het controleren van de maxEntityCount en maxEntitySize limieten, waardoor wordt geverzekigd dat ze correct worden afgedwongen, zelfs wanneer ze op 0 zijn ingesteld. Als een upgrade niet onmiddellijk mogelijk is, vermijd dan het verwerken van XML-bestanden van onbetrouwbare bronnen. Controleer bovendien de code van uw applicatie op potentiële kwetsbare invoerpunten en pas aanvullende beveiligingsmaatregelen toe, zoals strenge XML-invoervalidatie.
Actualice la biblioteca fast-xml-parser a la versión 5.5.7 o superior. Esto corrige la vulnerabilidad de expansión de entidades XML ilimitada que puede provocar una denegación de servicio. La actualización se puede realizar mediante npm o yarn.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-33349 is a denial-of-service vulnerability in the fast-xml-parser Node.js package where setting entity limits to 0 bypasses them, leading to memory exhaustion.
You are affected if you are using fast-xml-parser versions prior to 4.5.5 and process untrusted XML input.
Upgrade to version 4.5.5 or later of fast-xml-parser. If immediate upgrade is not possible, implement input validation to restrict entity sizes.
There are currently no publicly known active campaigns exploiting CVE-2026-33349, but the vulnerability's simplicity suggests a potential for exploitation.
Refer to the fast-xml-parser project's repository and release notes for the official advisory and details about the fix.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.