Katalog CVE

CVE-2026-25896

KrytyczneCVSS 9.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.45%

Percentyl 36 - wyżej niż 36% wszystkich znanych CVE

Streszczenie

W bibliotece fast-xml-parser w wersjach od 4.1.3 do 5.3.5 kropka (.) w nazwie encji DOCTYPE jest traktowana jako wieloznacznik regex, co pozwala atakującemu na zastąpienie wbudowanych encji XML (<, >, &, ", ') dowolnymi wartościami. To omija kodowanie encji i prowadzi do podatności na XSS, gdy przetworzone dane są renderowane.

Ocena ryzyka

Organizacja narażona jest na ataki typu Cross-Site Scripting (XSS), które mogą umożliwić wstrzyknięcie złośliwego kodu JavaScript do stron internetowych, co może prowadzić do kradzieży danych sesji, przekierowań lub modyfikacji treści.

Rekomendacja

Należy natychmiast zaktualizować bibliotekę fast-xml-parser do wersji 5.3.5 lub nowszej, która zawiera poprawkę eliminującą tę podatność.

Oryginalny opis (angielski, źródło NVD)

fast-xml-parser allows users to validate XML, parse XML to JS object, or build XML from JS object without C/C++ based libraries and no callback. From 4.1.3to before 5.3.5, a dot (.) in a DOCTYPE entity name is treated as a regex wildcard during entity replacement, allowing an attacker to shadow built-in XML entities (<, >, &, ", ') with arbitrary values. This bypasses entity encoding and leads to XSS when parsed output is rendered. This vulnerability is fixed in 5.3.5.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS