nvd,anchore_overrides
Naturalintelligence
Уязвимости
10
Эксплуатируемые
0
Критический
1
Высокий
5
Топ продуктов
Топ уязвимостей
CVE-2026-25896fast-xml-parser позволяет пользователям проверять XML, разбирать XML на объект JS или строить XML из объекта JS без библиотек на основе C/C++ и без обратного звонка. С 4.1.3 до 5.3.5 точка (.) в названии объекта DOCTYPE рассматривается как подстановочный знак regex во время замены объекта, что позволяет злоумышленнику следить за встроенными объектами XML (<, >, >, &r;, &cot;, ') с произвольными значениями. Это обходит кодирование объекта и приводит к XSS, когда отображается анализ вывода. Эта уязвимость зафиксирована в пункте 5.3.5.
CVE-2026-33036quick-xml-parser позволяет пользователям обрабатывать XML с объекта JS без библиотек на основе C/C++ или обратных вызовов. Версий 4.0.0-beta.3 - 5.5.5 содержат уязвимость байпаса, где числовые ссылки на символы (&#NNN;, &#xHH;) и стандартные XML-сущности полностью уклоняются от пределов расширения объекта (например, maxTotalExpansions, maxExpandLength), добавленных для исправления CVE-2026-26278, что позволяет XML-расширить объект. Первопричиной является то, что applicationEntitiesValue() в OrderedObjParser.js обеспечивает только расширение, рассчитывая на объекты, определенные DOCTYPE, в то время как последний цикл Entities, обрабатывающий числовые / стандартные сущности, не выполняет никакого подсчета вообще. Агитлер, поставляюющий 1M числовые ссылки на объекты, такие как A, может заставить ~147MB высвобождения памяти и интенсивного использования процессора, потенциально разрушая процесс, даже если разработчики настроили строгие ограничения. Эта проблема исправлена в версии 5.5.6.
CVE-2026-26278fast-xml-парсер позволяет пользователям проверять XML, разбирать XML на объект JS или создавать XML из объекта JS без библиотек на основе C/C++ и без обратного звонка. В версиях 4.1.3 - 5.3.5 XML-парсер может быть вынужден сделать неограниченное количество расширения сущности. При очень небольшом XML-входе можно заставить парсера потратить секунды или даже минуты на обработку одного запроса, эффективно замораживая приложение. Версия 5.3.6 устраняет проблему. В качестве обходного пути избегайте использования разбора DOCTYPE по «процессуальные организации: ложный» вариант.
CVE-2026-25128fast-xml-парсер позволяет пользователям проверять XML, анализировать объект XML в JS или строить XML из объекта JS без библиотек на основе C/C++ и без обратного вызова. В версиях 5.0.9 - 5.3.3 уязвимость RangeError существует в численном устройстве обработки fast-xml-парсера при разборе XML с недиагинальными точками кода эннази (например, `�` или `�`). Это заставляет парсера бросать не пойманное исключение, сбивая сбой любое приложение, которое обрабатывает ненадежные XML-входы. Версия 5.3.4 устраняет проблему.
CVE-2024-41818fast-xml-parser — это анализатор XML с открытым исходным кодом, написанный на чистом javascript. Существует ReDOS на currency.js. Эта уязвимость устранена в версии 4.4.1.
CVE-2023-34104fast-xml-parser - это чистый javascript xml-парсер с открытым исходным кодом. fast-xml-parser допускает специальные символы в именах сущностей, которые не экранируются и не очищаются. Поскольку имя сущности используется для создания регулярного выражения для поиска и замены сущностей в теле XML, злоумышленник может злоупотребить им для атак типа "отказ в обслуживании" (DoS). Создав имя сущности, которое приводит к намеренно плохо работающему регулярному выражению, и используя его на этапе замены сущности в парсере, это может привести к тому, что парсер зависнет на неопределенное время. Эта проблема была решена в v4.2.4. Пользователям рекомендуется выполнить обновление. Пользователям, которые не могут выполнить обновление, следует избегать использования анализа DOCTYPE, установив параметр `processEntities: false`.
CVE-2023-26920fast-xml-parser до версии 4.1.2 допускает __proto__ для загрязнения прототипа.
CVE-2026-41650fast-xml-parser позволяет пользователям обрабатывать XML с объекта JS без библиотек на основе C/C++ или обратных вызовов. До версии 5.7.0 XMLBuilder не избегает последовательности "-->" в содержании комментариев или последовательности "]]>>" в разделах CDATA при построении XML из объектов JavaScript. Это позволяет инъекции XML, когда данные, контролируемые пользователем, перетекают в комментарии или элементы CDATA, что приводит к XSS, инъекции SOAP или манипулированию данными. Эта проблема была исправлена в версии 5.7.0.
CVE-2026-33349fast-xml-parser позволяет пользователям обрабатывать XML с объекта JS без библиотек на основе C/C++ или обратных вызовов. От версии 4.0.0-beta.3 до версии 5.5.7, DocTypeReader в быстрых-xml-парсерах использует проверки подлинности JavaScript для оценки лимитов конфигурации maxEntityCount и maxEntitySize. Когда разработчик явно устанавливает либо ограничение до 0 — намереваясь запретить все объекты или ограничить размер объекта до нуля байтов — фальш-характер 0 в JavaScript приводит к короткому замыканию условий защиты, полностью обходя пределы. Злоумышленник, который может поставлять XML-вход для такого приложения, может вызвать неограниченное расширение сущности, что приводит к истощению памяти и отказу в обслуживании. Эта проблема была исправлена в версии 5.5.7.
CVE-2026-27942fast-xml-parser позволяет пользователям проверять XML, разборить XML на объект JS или построить XML из объекта JS без библиотек на основе C/C++ и без обратного вызова. До версии 5.3.8 приложение сбивается с переполнением стека, когда пользователь использует XML-конструктор с `preserveOrder:true`. Версия 5.3.8 устраняет проблему. В качестве обходного пути используйте конструктор XML с `preserveOrder:false` или проверьте входные данные перед переходом к конструктору.