Fast-xml-parser
Уязвимости
6
Эксплуатируемые
0
Макс. CVSS
9.3
Макс. EPSS
0.00828
Распределение по критичности
Критический
1
Высокий
3
Средний
2
Низкий
0
Затронутые диапазоны версий
4.0.0-beta.3–5.5.74.1.3–5.3.54.1.3–5.3.64.3.6–5.3.4< 4.4.1< 5.7.0
Топ уязвимостей
CVE-2026-25896fast-xml-parser позволяет пользователям проверять XML, разбирать XML на объект JS или строить XML из объекта JS без библиотек на основе C/C++ и без обратного звонка. С 4.1.3 до 5.3.5 точка (.) в названии объекта DOCTYPE рассматривается как подстановочный знак regex во время замены объекта, что позволяет злоумышленнику следить за встроенными объектами XML (<, >, >, &r;, &cot;, ') с произвольными значениями. Это обходит кодирование объекта и приводит к XSS, когда отображается анализ вывода. Эта уязвимость зафиксирована в пункте 5.3.5.
CVE-2026-26278fast-xml-парсер позволяет пользователям проверять XML, разбирать XML на объект JS или создавать XML из объекта JS без библиотек на основе C/C++ и без обратного звонка. В версиях 4.1.3 - 5.3.5 XML-парсер может быть вынужден сделать неограниченное количество расширения сущности. При очень небольшом XML-входе можно заставить парсера потратить секунды или даже минуты на обработку одного запроса, эффективно замораживая приложение. Версия 5.3.6 устраняет проблему. В качестве обходного пути избегайте использования разбора DOCTYPE по «процессуальные организации: ложный» вариант.
CVE-2026-25128fast-xml-парсер позволяет пользователям проверять XML, анализировать объект XML в JS или строить XML из объекта JS без библиотек на основе C/C++ и без обратного вызова. В версиях 5.0.9 - 5.3.3 уязвимость RangeError существует в численном устройстве обработки fast-xml-парсера при разборе XML с недиагинальными точками кода эннази (например, `�` или `�`). Это заставляет парсера бросать не пойманное исключение, сбивая сбой любое приложение, которое обрабатывает ненадежные XML-входы. Версия 5.3.4 устраняет проблему.
CVE-2024-41818fast-xml-parser — это анализатор XML с открытым исходным кодом, написанный на чистом javascript. Существует ReDOS на currency.js. Эта уязвимость устранена в версии 4.4.1.
CVE-2026-41650fast-xml-parser позволяет пользователям обрабатывать XML с объекта JS без библиотек на основе C/C++ или обратных вызовов. До версии 5.7.0 XMLBuilder не избегает последовательности "-->" в содержании комментариев или последовательности "]]>>" в разделах CDATA при построении XML из объектов JavaScript. Это позволяет инъекции XML, когда данные, контролируемые пользователем, перетекают в комментарии или элементы CDATA, что приводит к XSS, инъекции SOAP или манипулированию данными. Эта проблема была исправлена в версии 5.7.0.
CVE-2026-33349fast-xml-parser позволяет пользователям обрабатывать XML с объекта JS без библиотек на основе C/C++ или обратных вызовов. От версии 4.0.0-beta.3 до версии 5.5.7, DocTypeReader в быстрых-xml-парсерах использует проверки подлинности JavaScript для оценки лимитов конфигурации maxEntityCount и maxEntitySize. Когда разработчик явно устанавливает либо ограничение до 0 — намереваясь запретить все объекты или ограничить размер объекта до нуля байтов — фальш-характер 0 в JavaScript приводит к короткому замыканию условий защиты, полностью обходя пределы. Злоумышленник, который может поставлять XML-вход для такого приложения, может вызвать неограниченное расширение сущности, что приводит к истощению памяти и отказу в обслуживании. Эта проблема была исправлена в версии 5.5.7.