quick-xml-parser позволяет пользователям обрабатывать XML с объекта JS без библиотек на основе C/C++ или обратных вызовов. Версий 4.0.0-bet…

quick-xml-parser позволяет пользователям обрабатывать XML с объекта JS без библиотек на основе C/C++ или обратных вызовов. Версий 4.0.0-beta.3 - 5.5.5 содержат уязвимость байпаса, где числовые ссылки на символы (&#NNN;, &#xHH;) и стандартные XML-сущности полностью уклоняются от пределов расширения объекта (например, maxTotalExpansions, maxExpandLength), добавленных для исправления CVE-2026-26278, что позволяет XML-расширить объект. Первопричиной является то, что applicationEntitiesValue() в OrderedObjParser.js обеспечивает только расширение, рассчитывая на объекты, определенные DOCTYPE, в то время как последний цикл Entities, обрабатывающий числовые / стандартные сущности, не выполняет никакого подсчета вообще. Агитлер, поставляюющий 1M числовые ссылки на объекты, такие как A, может заставить ~147MB высвобождения памяти и интенсивного использования процессора, потенциально разрушая процесс, даже если разработчики настроили строгие ограничения. Эта проблема исправлена в версии 5.5.6.