Plataforma
nodejs
Componente
svgo
Corrigido em
2.1.1
3.0.1
4.0.1
2.8.2
3.3.4
4.0.2
2.8.1
A vulnerabilidade CVE-2026-29074 afeta o svgo, uma ferramenta de otimização de imagens SVG. Ela permite um ataque de Negação de Serviço (DoS) ao processar arquivos XML com entidades personalizadas maliciosas, resultando em um consumo excessivo de memória e potencial falha da aplicação Node.js. Versões do svgo anteriores a 2.8.1 são vulneráveis. A correção foi lançada na versão 2.8.1.
Um atacante pode explorar essa vulnerabilidade enviando um arquivo XML especialmente criado para o svgo. Este arquivo contém entidades personalizadas que, quando processadas, levam a uma expansão recursiva ou descontrolada, consumindo uma quantidade excessiva de memória. Isso pode resultar em uma paralisação da aplicação, tornando-a indisponível para outros usuários, ou até mesmo em uma falha completa do processo Node.js. O impacto é significativo, pois afeta a disponibilidade do serviço e pode interromper o processamento de imagens SVG. A falta de validação adequada das entidades XML permite que um arquivo relativamente pequeno cause um impacto desproporcional.
A vulnerabilidade foi divulgada em 2026-03-04. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da divulgação. A probabilidade de exploração é considerada baixa a média, dependendo da exposição do svgo em ambientes de produção e da conscientização sobre a vulnerabilidade. A ausência de um Proof of Concept (PoC) público dificulta a avaliação precisa do risco.
Applications and services that utilize SVGO for SVG image optimization are at risk. This includes web applications, build pipelines, and any automated processes that process SVG files. Specifically, projects relying on older versions of SVGO (prior to 2.8.1) and those lacking robust input validation are particularly vulnerable.
• nodejs / supply-chain: Monitor Node.js processes for excessive memory consumption and JavaScript heap out of memory errors.
ps aux | grep node | awk '{print $6, $7}' | sort -n• nodejs / supply-chain: Check for SVGO versions prior to 2.8.1 installed in your project dependencies.
npm ls svgo• generic web: Examine web server access logs for requests containing XML files with unusual or deeply nested custom entities. Look for patterns indicative of entity expansion attempts.
disclosure
Status do Exploit
EPSS
0.06% (percentil 17%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o svgo para a versão 2.8.1 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de proteção adicionais. Implemente um limite de memória para o processo Node.js para evitar que o consumo excessivo de memória cause uma falha completa. Monitore o uso de memória do processo svgo e configure alertas para detectar picos incomuns. Embora não seja uma solução completa, a implementação de um Web Application Firewall (WAF) pode ajudar a bloquear solicitações maliciosas que contenham entidades XML suspeitas. Verifique se a atualização foi bem-sucedida executando o svgo e processando um arquivo SVG de teste para garantir que a vulnerabilidade foi corrigida.
Atualize a biblioteca SVGO para a versão 2.8.1, 3.3.3 ou 4.0.1 ou superior. Isso corrige a vulnerabilidade de expansão de entidades XML (Billion Laughs) que pode causar uma negação de serviço.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-29074 is a Denial of Service vulnerability in SVGO, a Node.js library, where malicious XML files can cause memory exhaustion and application crashes.
You are affected if you are using SVGO versions prior to 2.8.1 and processing untrusted XML files.
Upgrade SVGO to version 2.8.1 or later. If upgrading isn't possible, implement input validation to restrict custom entities in XML files.
There is currently no confirmed active exploitation of CVE-2026-29074, but its simplicity suggests a potential for future exploitation.
Refer to the SVGO project's repository and release notes for the official advisory and details on the fix: [https://github.com/svg/svgo](https://github.com/svg/svgo)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.