CVE-2026-33349：fast-xml-parser拒绝服务漏洞 (CVSS 5.9)

CVE-2026-33349 漏洞存在于 fast-xml-parser 中 DocTypeReader 组件对 maxEntityCount 和 maxEntitySize 限制的处理方式。代码使用 JavaScript 的 'truthy' 检查来评估这些限制。如果开发人员将其中一个限制明确设置为 0 - 意图完全禁止所有实体或将实体大小限制为零字节 - JavaScript 中 0 的 'falsy' 特性会导致保护条件短路，从而有效地绕过这些限制。能够向此类应用程序提供 XML 输入的攻击者可以触发无限实体扩展，从而导致拒绝服务 (DoS) 条件，或者根据应用程序上下文，可能导致任意代码执行。

Applications built on Node.js that utilize the fast-xml-parser package for XML parsing are at risk. This includes web applications, APIs, and backend services that process XML data from external sources. Specifically, applications that allow user-supplied XML input without proper validation are particularly vulnerable.

• nodejs / supply-chain:

  npm list fast-xml-parser

• nodejs / server:

npm ls | grep fast-xml-parser

• generic web: Inspect application logs for errors related to XML parsing or memory exhaustion. Look for unusually large XML payloads.

1. 2026-03-19Disclosure

   disclosure

1. 已保留2026-03-18
2. 发布日期2026-03-19
3. 修改日期2026-04-08
4. EPSS 更新日期2026-04-01

CVE-2026-33349 的主要缓解措施是升级到 fast-xml-parser 的 4.5.5 或更高版本。此版本通过实现更强大的逻辑来检查 maxEntityCount 和 maxEntitySize 限制，从而更正了漏洞，确保即使将其设置为 0，这些限制也能得到正确执行。如果无法立即升级，请避免处理来自不受信任来源的 XML 文件。此外，请审查您的应用程序代码，以识别任何潜在的漏洞输入点，并应用额外的安全措施，例如严格的 XML 输入验证。