CVE-2026-25896
KrytyczneCVSS 9.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 36 - wyżej niż 36% wszystkich znanych CVE
Streszczenie
W bibliotece fast-xml-parser w wersjach od 4.1.3 do 5.3.5 kropka (.) w nazwie encji DOCTYPE jest traktowana jako wieloznacznik regex, co pozwala atakującemu na zastąpienie wbudowanych encji XML (<, >, &, ", ') dowolnymi wartościami. To omija kodowanie encji i prowadzi do podatności na XSS, gdy przetworzone dane są renderowane.
Ocena ryzyka
Organizacja narażona jest na ataki typu Cross-Site Scripting (XSS), które mogą umożliwić wstrzyknięcie złośliwego kodu JavaScript do stron internetowych, co może prowadzić do kradzieży danych sesji, przekierowań lub modyfikacji treści.
Rekomendacja
Należy natychmiast zaktualizować bibliotekę fast-xml-parser do wersji 5.3.5 lub nowszej, która zawiera poprawkę eliminującą tę podatność.
Oryginalny opis (angielski, źródło NVD)
fast-xml-parser allows users to validate XML, parse XML to JS object, or build XML from JS object without C/C++ based libraries and no callback. From 4.1.3to before 5.3.5, a dot (.) in a DOCTYPE entity name is treated as a regex wildcard during entity replacement, allowing an attacker to shadow built-in XML entities (<, >, &, ", ') with arbitrary values. This bypasses entity encoding and leads to XSS when parsed output is rendered. This vulnerability is fixed in 5.3.5.

