fast-xml-parser 安全漏洞 CVE-2026-25896：通过正则表达式注入绕过实体编码

一个关键的安全漏洞（CVE-2026-25896）在广泛使用的 JavaScript XML 解析库 `fast-xml-parser` 中被披露。该漏洞允许攻击者通过精心构造的 DOCTYPE 实体名称，利用正则表达式注入来绕过实体编码，可能导致 XML 外部实体（XXE）攻击或服务端请求伪造（SSRF）。

漏洞核心在于库处理 DOCTYPE 声明中实体名称的逻辑缺陷。当实体名称包含点号（`.`）时，该字符在内部正则表达式匹配中被错误地解释为通配符，而非字面量。这使得攻击者能够注入正则表达式模式，从而匹配并替换非预期的文本，最终绕过旨在对危险实体进行编码的安全机制。该漏洞影响了 5.5.7 之前的所有版本。维护者 NaturalIntelligence 已在版本 5.5.7 中修复了此问题。

鉴于 `fast-xml-parser` 在 Node.js 生态系统中被数百万个项目依赖，此漏洞构成了广泛的供应链风险。依赖自动化工具（如 Renovate）的项目正收到将依赖从旧版本（如 4.3.2）升级到安全版本 5.5.7 的拉取请求。开发团队必须优先处理此更新，以缓解其应用程序中潜在的 XXE 攻击向量。未能及时修补可能使处理用户可控 XML 输入的服务面临数据泄露或系统入侵的风险。