CVE-2026-25128:CWE-20:NaturalIntelligence fast-xml-parser中的不当输入验证
严重性: 高危 类型: 漏洞
fast-xml-parser 允许用户在无需基于 C/C++ 的库和回调的情况下验证 XML、将 XML 解析为 JS 对象或从 JS 对象构建 XML。在 4.3.6 至 5.3.3 版本中,当解析包含超出范围实体代码点(例如 � 或 �)的 XML 时,fast-xml-parser 的数值实体处理存在一个 RangeError 漏洞。这会导致解析器抛出一个未捕获的异常,从而使任何处理不可信 XML 输入的应用程序崩溃。5.3.4 版本修复了该问题。
技术总结
NaturalIntelligence 的 fast-xml-parser 库是一个流行的 JavaScript 工具,用于验证、解析和构建 XML,无需依赖原生 C/C++ 库或回调。版本 4.3.6 至 5.3.3 包含一个漏洞 (CVE-2026-25128),该漏洞源于数值实体处理期间的不当输入验证 (CWE-20)。具体来说,当解析器遇到代码点超出有效 Unicode 范围的数值 XML 实体(例如 � 或 �)时,会触发一个在库内部未被捕获的 RangeError 异常。此未捕获的异常会导致使用该解析器的整个应用程序崩溃,从而造成拒绝服务 (DoS) 状况。该漏洞不会暴露敏感数据或允许执行代码,但会破坏服务可用性。CVSS v3.1 评分为 7.5(高危),反映了网络攻击向量、无需权限或用户交互以及对可用性的高影响。目前尚无已知的在野漏洞利用报告。该问题于 2026 年 1 月 30 日公开披露,并在 fast-xml-parser 5.3.4 版本中修复。依赖此库进行 XML 处理(尤其是处理不可信 XML 输入)的组织,如果使用受影响版本,则面临服务中断的风险。
潜在影响
对于欧洲组织而言,主要影响是在处理包含超出范围数值实体的恶意构造 XML 输入时,应用程序崩溃导致的拒绝服务。这可能影响使用 fast-xml-parser 解析 XML 数据的 Web 服务、API 或后端系统,导致停机、服务可用性下降和潜在运营中断。尽管机密性和完整性未直接受损,但可用性影响可能波及业务连续性、客户信任以及服务等级协议的合规性。严重依赖 XML 进行数据交换的行业,如金融、电信和政府服务,可能会面临重大运营风险。此外,使用 XML 源的自动化系统可能会中断,引发级联故障。利用该漏洞无需身份验证或用户交互,这增加了风险暴露面,尤其对于面向外部的服务。
缓解建议
- 立即将 fast-xml-parser 升级到 5.3.4 或更高版本以应用官方修复。
- 在解析之前,对所有 XML 输入实施严格的输入验证和清理,拒绝或清理超出有效 Unicode 范围的数值实体。
- 在 XML 解析调用周围使用运行时异常处理,以优雅地处理意外错误并防止应用程序崩溃。
- 使用应用层防火墙或 XML 网关来检测和阻止包含可疑数值实体的格式错误的 XML 负载。
- 监控应用程序日志,查找表明存在漏洞利用尝试的频繁解析器异常或崩溃。
- 对 XML 处理组件进行安全测试和模糊测试,以发现类似的输入验证弱点。
- 教育开发人员了解安全的 XML 解析实践以及处理不可信输入的风险。
- 对于关键系统,考虑实施冗余和故障转移机制,以在攻击期间维持可用性。
受影响国家 德国、法国、英国、荷兰、瑞典、意大利 aeYFGlNGPch5/i0AskAWpmMVXj3lzK9JFM/1O1GWF7Alu41o8YlYmtXfFF+vsVpqLsP8x75Q5stcHB7ByY51eQv2lKyFK5kX4E1Uh4RBzR72Y3Sc+FiDNs2wXnIykLCL
