CVE-2026-33349 Naturalintelligence — эксплойт и детали уязвимости MEDIUM

Параметр	Значение
CVSS	5,9 (MEDIUM)
Уязвимые версии	4.0.1 — 5.5.7
Устранено в версии	5.5.7
Тип уязвимости	CWE-1284
Поставщик	Naturalintelligence
Публичный эксплойт	Нет

fast-xml-parser позволяет пользователям обрабатывать XML из объекта JS без библиотек на основе C/C++ или обратных вызовов. Начиная с версии 4.0.0-beta.3 и до версии 5.5.7, DocTypeReader в fast-xml-parser использует проверки достоверности JavaScript для оценки ограничений конфигурации maxEntityCount и maxEntitySize. Когда разработчик явно устанавливает либо ограничение равным 0 — намереваясь запретить все объекты или ограничить размер объекта нулевыми байтами — ложная природа 0 в JavaScript приводит к короткому замыканию защитных условий, полностью обходя ограничения.

Злоумышленник, который может предоставить входные данные XML такому приложению, может инициировать неограниченное расширение объекта, что приведет к нехватке памяти и отказу в обслуживании. Эта проблема исправлена в версии 5.5.7.

Показать оригинальное описание (EN)

fast-xml-parser allows users to process XML from JS object without C/C++ based libraries or callbacks. From version 4.0.0-beta.3 to before version 5.5.7, the DocTypeReader in fast-xml-parser uses JavaScript truthy checks to evaluate maxEntityCount and maxEntitySize configuration limits. When a developer explicitly sets either limit to 0 — intending to disallow all entities or restrict entity size to zero bytes — the falsy nature of 0 in JavaScript causes the guard conditions to short-circuit, completely bypassing the limits. An attacker who can supply XML input to such an application can trigger unbounded entity expansion, leading to memory exhaustion and denial of service. This issue has been patched in version 5.5.7.

Характеристики атаки

Способ атаки

По сети

Атака возможна удалённо

Сложность

Высокая

Сложно эксплуатировать

Нужны права

Не требуются

Права не нужны

Участие пользователя

Не требуется

Не нужно действие пользователя

Последствия

Конфиденциальность

Нет

Нет утечки данных

Целостность

Нет

Нет модификации данных

Доступность

Высокое

Полный отказ в обслуживании

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-1284

Уязвимые продукты 9

Конфигурация	От (включительно)	До (исключительно)
Naturalintelligence Fast-Xml-Parser cpe:2.3:a:naturalintelligence:fast-xml-parser::::::::	`4.0.1`	`4.5.5`
Naturalintelligence Fast-Xml-Parser cpe:2.3:a:naturalintelligence:fast-xml-parser::::::::	`5.0.0`	`5.5.7`
Naturalintelligence Fast-Xml-Parser cpe:2.3:a:naturalintelligence:fast-xml-parser:4.0.0:-::::::	—	—
Naturalintelligence Fast-Xml-Parser cpe:2.3:a:naturalintelligence:fast-xml-parser:4.0.0:beta3::::::	—	—
Naturalintelligence Fast-Xml-Parser cpe:2.3:a:naturalintelligence:fast-xml-parser:4.0.0:beta4::::::	—	—
Naturalintelligence Fast-Xml-Parser cpe:2.3:a:naturalintelligence:fast-xml-parser:4.0.0:beta5::::::	—	—
Naturalintelligence Fast-Xml-Parser cpe:2.3:a:naturalintelligence:fast-xml-parser:4.0.0:beta6::::::	—	—
Naturalintelligence Fast-Xml-Parser cpe:2.3:a:naturalintelligence:fast-xml-parser:4.0.0:beta7::::::	—	—
Naturalintelligence Fast-Xml-Parser cpe:2.3:a:naturalintelligence:fast-xml-parser:4.0.0:beta8::::::	—	—