## fast-xml-parser 高危漏洞：恶意 XML 可触发 RangeError 导致服务崩溃 (CVE-2026-25128)
一个高危安全漏洞潜伏在广泛使用的 `fast-xml-parser` 库中，允许攻击者通过精心构造的 XML 数据直接导致依赖该库的应用程序崩溃。该漏洞（CVE-2026-25128）的 CVSS 评分为 7.5，影响版本为 `>= 4.3.6, <= 5.3.3`。核心问题在于解析器在处理超出有效 Unicode 范围的数字实体（例如 `&#9999999;` 或 `&#xFFFFFF;`）时，会抛出未捕获的 `RangeError` 异常，从而引发拒绝服务（DoS）。

漏洞根源于库文件 `/src/xmlparser/OrderedObjParser.js` 中的第 44-45 行。代码使用 `String.fromCodePoint()` 方法转换数字实体，但未对输入值进行范围校验。当传入的码点超过 Unicode 最大允许值（0x10FFFF 或 1114111）时，该方法会抛出异常，而解析器未能捕获此异常，导致进程直接终止。这意味着任何处理不可信 XML 输入的 Node.js 应用，如果使用了受影响版本的 `fast-xml-parser`，都面临被恶意请求击垮的风险。

鉴于 `fast-xml-parser` 在 npm 生态系统中的高下载量（每周数百万次），此漏洞的影响范围可能非常广泛。从 Web 服务、API 网关到各类数据处理工具链，凡是涉及 XML 解析的环节都可能成为攻击入口。开发团队需立即将库升级至已修复的安全版本，或实施输入验证与异常捕获等缓解措施，以防生产环境服务因恶意负载而中断。
---
- **Source**: GitHub Issues
- **Sector**: The Lab
- **Tags**: 安全漏洞, CVE, Node.js, XML解析, 拒绝服务
- **Credibility**: unverified
- **Published**: 2026-04-02 01:26:53
- **ID**: 46354
- **URL**: https://whisperx.ai/en/intel/46354