CVE-2026-25128

Nome do Software Vulnerável e Versões Afetadas fast-xml-parser versões 4.3.6 até 5.3.3

Descrição O fast-xml-parser permite aos usuários validar XML, analisar XML para um objeto JS ou construir XML a partir de um objeto JS sem bibliotecas baseadas em C/C++ e sem callback. Nas versões 4.3.6 até 5.3.3, ocorre um RangeError no processamento de entidades numéricas ao analisar XML com pontos de código de entidade fora do intervalo (por exemplo, � ou �). Isso faz com que o analisador lance uma exceção não capturada, travando qualquer aplicação que processe entrada XML não confiável. O problema deve-se ao método String.fromCodePoint() lançar um RangeError quando o ponto de código excede o intervalo Unicode válido. Os padrões regex usados para capturar entidades numéricas podem corresponder a valores que excedem este intervalo. O processo de substituição de entidades carece de um bloco try-catch, permitindo que o RangeError se propague e trave o analisador. Uma prova de conceito demonstra que o envio de um payload XML malicioso com uma entidade numérica fora do intervalo pode travar um servidor Node.js usando fast-xml-parser. Isso pode levar a uma negação de serviço em aplicações que processam entrada XML não confiável, como servidores de API, processadores de arquivos, filas de mensagens, analisadores de feed RSS/Atom e serviços SOAP/XML-RPC.

Recomendações Atualize para a versão 5.3.4 ou posterior do fast-xml-parser.