CVE-2026-25896: Kritische XML-Schwachstelle in "fast-xml-parser" lässt Angreifer XSS-Angriffe durchführen
⚠️ CVE-Referenzen:
CVE-2026-25896
Zusammenfassung
Eine kritische Sicherheitslücke (CVE-2026-25896) im XML-Parser "fast-xml-parser" erlaubt Angreifern, eingebaute XML-Entitäten zu überschreiben und somit plattformübergreifende Skriptausführung (XSS) zu ermöglichen. Das Problem betrifft Versionen von 4.1.3 bis vor 5.3.5 und wurde in der aktuellen Version 5.3.5 behoben. Administratoren sollten umgehend auf die neueste Version aktualisieren, um ihre Systeme vor Angriffen zu schützen.
fast-xml-parser allows users to validate XML, parse XML to JS object, or build XML from JS object without C/C++ based libraries and no callback. From 4.1.3to before 5.3.5, a dot (.) in a DOCTYPE entity name is treated as a regex wildcard during entity replacement, allowing an attacker to shadow built-in XML entities (<, >, &, ", ') with arbitrary values. This bypasses entity encoding and leads to XSS when parsed output is rendered. This vulnerability is fixed in 5.3.5.
Quelle: app.opencve.io