CVE-2026-33036 Naturalintelligence — эксплойт и детали уязвимости HIGH

Параметр	Значение
CVSS	7,5 (HIGH)
Уязвимые версии	4.0.1 — 5.5.6
Устранено в версии	5.5.6
Тип уязвимости	CWE-776
Поставщик	Naturalintelligence
Публичный эксплойт	Нет

fast-xml-parser позволяет пользователям обрабатывать XML из объекта JS без библиотек на основе C/C++ или обратных вызовов. Версии с 4.0.0-beta.3 по 5.5.5 содержат уязвимость обхода, при которой числовые ссылки на символы (&#NNN;, &#xHH;) и стандартные сущности XML полностью обходят ограничения расширения сущностей (например, maxTotalExpansions, maxExpandedLength), добавленные для исправления CVE-2026-26278, что позволяет реализовать отказ в обслуживании расширения сущностей XML. Основная причина заключается в том, что replaceEntitiesValue() в OrderedObjParser.js обеспечивает подсчет расширения только для сущностей, определенных в DOCTYPE, в то время как цикл LastEntities, обрабатывающий числовые/стандартные сущности, вообще не выполняет подсчета.

Злоумышленник предоставил 1 миллион ссылок на числовые объекты, такие как A может вызвать выделение ~147 МБ памяти и высокую загрузку ЦП, что может привести к сбою процесса, даже если разработчики настроили строгие ограничения. Эта проблема исправлена в версии 5.5.6.

Показать оригинальное описание (EN)

fast-xml-parser allows users to process XML from JS object without C/C++ based libraries or callbacks. Versions 4.0.0-beta.3 through 5.5.5 contain a bypass vulnerability where numeric character references (&#NNN;, &#xHH;) and standard XML entities completely evade the entity expansion limits (e.g., maxTotalExpansions, maxExpandedLength) added to fix CVE-2026-26278, enabling XML entity expansion Denial of Service. The root cause is that replaceEntitiesValue() in OrderedObjParser.js only enforces expansion counting on DOCTYPE-defined entities while the lastEntities loop handling numeric/standard entities performs no counting at all. An attacker supplying 1M numeric entity references like A can force ~147MB of memory allocation and heavy CPU usage, potentially crashing the process—even when developers have configured strict limits. This issue has been fixed in version 5.5.6.

Характеристики атаки

Способ атаки

По сети

Атака возможна удалённо

Сложность

Низкая

Легко эксплуатировать

Нужны права

Не требуются

Права не нужны

Участие пользователя

Не требуется

Не нужно действие пользователя

Последствия

Конфиденциальность

Нет

Нет утечки данных

Целостность

Нет

Нет модификации данных

Доступность

Высокое

Полный отказ в обслуживании

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-776

Уязвимые продукты 8

Конфигурация	От (включительно)	До (исключительно)
Naturalintelligence Fast-Xml-Parser cpe:2.3:a:naturalintelligence:fast-xml-parser::::::::	`4.0.1`	`5.5.6`
Naturalintelligence Fast-Xml-Parser cpe:2.3:a:naturalintelligence:fast-xml-parser:4.0.0:-::::::	—	—
Naturalintelligence Fast-Xml-Parser cpe:2.3:a:naturalintelligence:fast-xml-parser:4.0.0:beta3::::::	—	—
Naturalintelligence Fast-Xml-Parser cpe:2.3:a:naturalintelligence:fast-xml-parser:4.0.0:beta4::::::	—	—
Naturalintelligence Fast-Xml-Parser cpe:2.3:a:naturalintelligence:fast-xml-parser:4.0.0:beta5::::::	—	—
Naturalintelligence Fast-Xml-Parser cpe:2.3:a:naturalintelligence:fast-xml-parser:4.0.0:beta6::::::	—	—
Naturalintelligence Fast-Xml-Parser cpe:2.3:a:naturalintelligence:fast-xml-parser:4.0.0:beta7::::::	—	—
Naturalintelligence Fast-Xml-Parser cpe:2.3:a:naturalintelligence:fast-xml-parser:4.0.0:beta8::::::	—	—