fast-xml-parser позволяет пользователям обрабатывать XML с объекта JS без библиотек на основе C/C++ или обратных вызовов. От версии 4.0.0-b…
fast-xml-parser позволяет пользователям обрабатывать XML с объекта JS без библиотек на основе C/C++ или обратных вызовов. От версии 4.0.0-beta.3 до версии 5.5.7, DocTypeReader в быстрых-xml-парсерах использует проверки подлинности JavaScript для оценки лимитов конфигурации maxEntityCount и maxEntitySize. Когда разработчик явно устанавливает либо ограничение до 0 — намереваясь запретить все объекты или ограничить размер объекта до нуля байтов — фальш-характер 0 в JavaScript приводит к короткому замыканию условий защиты, полностью обходя пределы. Злоумышленник, который может поставлять XML-вход для такого приложения, может вызвать неограниченное расширение сущности, что приводит к истощению памяти и отказу в обслуживании. Эта проблема была исправлена в версии 5.5.7.
Продукт получает входные данные, которые должны задавать некоторое количество (например, размер или длину), однако не проверяет или некорректно проверяет, обладает ли это количество требуемыми свойствами.
https://cwe.mitre.org/data/definitions/1284.html →Открыть в коллекции CWE →| Продукт | Вендор | Статус |
|---|---|---|
| Отслеживается | ||
| node-webfont | Отслеживается | |
| fast-xml-parser | * | Отслеживается |