CVE-2026-33036：fast-xml-parser 数字实体引用 DoS

攻击者可以精心构造包含大量数字字符引用（例如 &#NNN; 和 &#xHH;）的恶意XML文档。由于fast-xml-parser在处理这些引用时未应用任何扩展限制，这绕过了先前CVE-2026-26278修复引入的限制（maxTotalExpansions, maxExpandedLength, maxEntityCount, maxEntitySize）。这种绕过会导致服务器端应用程序消耗过多的内存和CPU资源，最终导致拒绝服务（DoS）攻击。攻击者无需访问任何敏感数据，即可通过资源耗尽的方式中断服务。受影响的应用程序可能包括使用fast-xml-parser解析用户上传的XML文件、从外部API接收XML数据或处理XML配置文件的情况。如果应用程序将解析后的XML数据用于后续处理，例如数据库查询或业务逻辑，那么DoS攻击可能间接影响这些操作，导致数据访问延迟或失败。攻击的范围取决于应用程序的部署环境和架构，可能影响单个服务器、整个服务集群甚至整个组织的网络。

Applications built on Node.js that utilize the fast-xml-parser library for XML parsing are at risk. This includes applications that process XML data from external sources, such as APIs or user uploads. Specifically, applications that have not upgraded to version 5.5.6 or later are vulnerable.

• nodejs / server:

npm audit fast-xml-parser

• nodejs / server:

find / -name "node_modules/fast-xml-parser" -print

• nodejs / server:

ps aux | grep 'fast-xml-parser'

1. 2026-03-17Disclosure

   disclosure

1. 已保留2026-03-17
2. 发布日期2026-03-17
3. 修改日期2026-03-25
4. EPSS 更新日期2026-03-27

为了解决此问题，请立即将fast-xml-parser升级到版本5.5.6或更高版本。此版本修复了CVE-2026-33036漏洞，并正确地对所有XML实体引用应用了扩展限制。如果无法立即升级，则可以考虑在应用程序代码中对XML输入进行预处理，以删除或限制数字字符引用的数量。例如，可以编写一个正则表达式来查找并删除过多的数字字符引用。然而，这种方法可能不完整，并且可能影响XML数据的有效性，因此应谨慎使用。升级后，请务必验证应用程序是否能够正确处理包含数字字符引用的XML文档，并监控服务器资源使用情况，以确保漏洞已成功修复。建议在测试环境中验证升级过程，以避免对生产环境造成影响。