1. fast-xml-parser 5.3.8 前版本存在栈溢出漏洞,特定配置可致应用崩溃
流行的 Node.js XML 解析库 `fast-xml-parser` 被曝存在一个栈溢出漏洞,当使用其 XML 构建器并启用 `preserveOrder: true` 配置时,处理特定嵌套结构的输入数据会导致应用程序崩溃。该漏洞源于 `arrToStr` 函数未能正确验证输入类型,将非数组值一律视为文本内容处理,从而在递归过程中耗尽调用栈。尽管其 CVSS 评分为 0 分,被标记为“低”严重性,但它直接威胁到依赖此库进行 XML 处理的应用程序的稳定性和可用性。 漏洞影响所有低于 5.3.8 版本的 `fast-xml-parser` 包。触发条件相对明确:开发者必须使用库的 XML 构建器功能,并设置 `preserve...