CVE-2026-29074

Nome do Software Vulnerável e Versões Afetadas Versões do SVGO de 2.1.0 a 2.8.0 Versões do SVGO de 3.0.0 a 3.3.2 Versões do SVGO anteriores a 4.0.1

Descrição O SVGO é suscetível a um problema de negação de serviço decorrente do manuseio inadequado de entidades personalizadas de XML. Especificamente, o software não protege adequadamente contra a expansão ou recursão de entidades. Um arquivo XML pequeno e maliciosamente elaborado (aproximadamente 811 bytes) pode fazer com que a aplicação trave ou falhe devido ao consumo excessivo de memória, resultando em um erro de esgotamento de memória no heap do JavaScript. O problema surge porque o SVGO utiliza um analisador XML upstream que, por padrão, não interpreta entidades personalizadas de XML. O SVGO modifica o analisador para suportar entidades declaradas no DOCTYPE, mas isso introduz o risco de expansão exponencial quando as entidades referenciam umas às outras. Isso pode ser acionado ao processar entrada SVG não confiável, potencialmente impactando aplicações do lado do servidor.

Recomendações Versões do SVGO de 2.1.0 a 2.8.0: Atualize para a versão 2.8.1 ou posterior. Versões do SVGO de 3.0.0 a 3.3.2: Atualize para a versão 3.3.3 ou posterior. Versões do SVGO anteriores a 4.0.1: Atualize para a versão 4.0.1 ou posterior.