Vulnerabilidad en fast-xml-parser (CVE-2026-33036)

fast-xml-parser permite a los usuarios procesar XML desde objetos JS sin bibliotecas basadas en C/C++ ni callbacks. Las versiones 4.0.0-beta.3 hasta la 5.5.5 contienen una vulnerabilidad de bypass donde las referencias de caracteres numéricos (&#NNN;, &#xHH;) y las entidades XML estándar evaden completamente los límites de expansión de entidades (p. ej., maxTotalExpansions, maxExpandedLength) añadidos para corregir CVE-2026-26278, lo que permite la denegación de servicio por expansión de entidades XML. La causa raíz es que replaceEntitiesValue() en OrderedObjParser.js solo aplica el conteo de expansión en entidades definidas en DOCTYPE, mientras que el bucle lastEntities que maneja las entidades numéricas/estándar no realiza ningún conteo. Un atacante que suministre 1M de referencias de entidades numéricas como A puede forzar una asignación de memoria de ~147MB y un uso intensivo de CPU, lo que podría bloquear el proceso, incluso cuando los desarrolladores han configurado límites estrictos. Este problema ha sido corregido en la versión 5.5.6.