Plataforma
nodejs
Componente
fast-xml-parser
Corrigido em
4.0.1
5.5.7
A vulnerabilidade CVE-2026-33349 é um ataque de negação de serviço (DoS) no componente fast-xml-parser. O problema reside na forma como o DocTypeReader avalia os limites de configuração maxEntityCount e maxEntitySize, permitindo a expansão ilimitada de entidades XML. Isso pode levar à exaustão da memória e à interrupção do serviço. Afeta versões anteriores à 5.5.7. A vulnerabilidade foi corrigida na versão 5.5.7.
A vulnerabilidade CVE-2026-33349 no fast-xml-parser reside no tratamento dos limites maxEntityCount e maxEntitySize dentro do componente DocTypeReader. O código utiliza verificações de 'truthy' em JavaScript para avaliar esses limites. Se um desenvolvedor definir explicitamente um desses limites para 0 – com a intenção de desabilitar completamente as entidades ou restringir o tamanho das entidades a zero bytes – a natureza 'falsy' de 0 em JavaScript faz com que as condições de proteção sejam interrompidas, ignorando efetivamente os limites. Um atacante que possa fornecer entrada XML para uma aplicação pode acionar uma expansão ilimitada de entidades, levando a uma condição de negação de serviço (DoS) ou, potencialmente, à execução de código arbitrário, dependendo do contexto da aplicação.
Esta vulnerabilidade é explorável em aplicações que utilizam o fast-xml-parser para processar arquivos XML de fontes externas, especialmente se os limites maxEntityCount e maxEntitySize foram explicitamente configurados para 0. Um atacante poderia criar um arquivo XML malicioso contendo um grande número de entidades aninhadas ou entidades com tamanhos excessivos. O parser, falhando em aplicar corretamente os limites, tentará expandir essas entidades, consumindo recursos do servidor e potencialmente causando uma negação de serviço. A complexidade da exploração depende da capacidade do atacante de controlar a entrada XML e da configuração do servidor.
Applications built on Node.js that utilize the fast-xml-parser package for XML parsing are at risk. This includes web applications, APIs, and backend services that process XML data from external sources. Specifically, applications that allow user-supplied XML input without proper validation are particularly vulnerable.
• nodejs / supply-chain:
npm list fast-xml-parser• nodejs / server:
npm ls | grep fast-xml-parser• generic web: Inspect application logs for errors related to XML parsing or memory exhaustion. Look for unusually large XML payloads.
disclosure
Status do Exploit
EPSS
0.03% (percentil 9%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2026-33349 é atualizar para a versão 4.5.5 ou posterior do fast-xml-parser. Esta versão corrige a vulnerabilidade implementando uma lógica mais robusta para verificar os limites maxEntityCount e maxEntitySize, garantindo que sejam aplicados corretamente, mesmo quando definidos como 0. Se a atualização não for possível imediatamente, evite processar arquivos XML de fontes não confiáveis. Além disso, revise o código da sua aplicação para identificar quaisquer pontos de entrada potenciais vulneráveis e aplique medidas de segurança adicionais, como a validação estrita da entrada XML.
Actualice la biblioteca fast-xml-parser a la versión 5.5.7 o superior. Esto corrige la vulnerabilidad de expansión de entidades XML ilimitada que puede provocar una denegación de servicio. La actualización se puede realizar mediante npm o yarn.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Em JavaScript, 'truthy' refere-se a qualquer valor que avalia para verdadeiro em um contexto booleano. O número 0 é considerado 'falsy', o que significa que avalia para falso.
A versão 4.5.5 do fast-xml-parser corrige a vulnerabilidade implementando uma lógica de verificação mais segura para os limites de entidade, evitando que sejam ignorados.
Se a atualização não for possível imediatamente, evite processar arquivos XML de fontes não confiáveis e revise seu código em busca de possíveis pontos de entrada vulneráveis.
Se sua aplicação usa fast-xml-parser e configurou maxEntityCount ou maxEntitySize para 0, é provável que seja vulnerável.
Esta vulnerabilidade pode permitir um ataque de negação de serviço (DoS) ao consumir recursos do servidor através da expansão ilimitada de entidades.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.