CVE-2026-25896

Nome do Software Vulnerável e Versões Afetadas fast-xml-parser versões 4.1.3 até 5.3.5

Descrição O fast-xml-parser possui uma falha na forma como lida com nomes de entidade DOCTYPE durante a análise de XML. Especificamente, um ponto (.) dentro de um nome de entidade é tratado como um curinga de regex durante a substituição de entidades. Isso permite que um atacante oculte ou sobrescreva entidades XML nativas, como (<, >, &, ", '), com valores arbitrários, contornando a codificação de entidades. Isso pode levar a Cross-Site Scripting (XSS) quando a saída analisada é renderizada, ou potencialmente a divulgação de informações ou Falsificação de Solicitação do Lado do Servidor (SSRF). O problema existe nas versões 5 e 6 da biblioteca. O analisador constrói expressões regulares dinamicamente a partir de nomes de entidade DOCTYPE não confiáveis. Um nome de entidade como 'l.' cria uma regex que corresponde a qualquer caractere, efetivamente ocultando a entidade '<'. A vulnerabilidade afeta aplicativos que analisam XML não confiável e usam a saída em contextos sensíveis a injeção. Aproximadamente 40 milhões de downloads semanais do npm são afetados.

Recomendações Atualize o fast-xml-parser para a versão 5.3.5 ou posterior.