← volver
CVE-2026-34601

xmldom: XML injection via unsafe CDATA serialization allows attacker-controlled markup insertion

CVSS 7.5 HIGHEPSS 0.4%CWE-91
En resumen

xmldom no escapa correctamente caracteres especiales al almacenar texto en secciones CDATA, permitiendo que atacantes inyecten código XML malicioso que se ejecuta cuando el documento es leído por otros sistemas.

Detalle técnico

Un atacante puede insertar la secuencia terminadora CDATA ]]> en un nodo CDATASection; XMLSerializer no sanitiza ni divide este terminador durante la serialización, haciendo que el marcado controlado por el atacante se emita como XML activo en lugar de contenido solo-texto, posibilitando inyección XML y manipulación lógica en procesadores posteriores.

Resumen generado y traducido por IA a partir de la descripción oficial.
xmldom is a pure JavaScript W3C standard-based (XML DOM Level 2 Core) `DOMParser` and `XMLSerializer` module. In xmldom versions 0.6.0 and prior and @xmldom/xmldom prior to versions 0.8.12 and 0.9.9, xmldom/xmldom allows attacker-controlled strings containing the CDATA terminator ]]> to be inserted into a CDATASection node. During serialization, XMLSerializer emitted the CDATA content verbatim without rejecting or safely splitting the terminator. As a result, data intended to remain text-only became active XML markup in the serialized output, enabling XML structure injection and downstream business-logic manipulation. This issue has been patched in xmldom version 0.6.0 and @xmldom/xmldom versions 0.8.12 and 0.9.9.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
Productos afectados
xmldom · xmldom

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://github.com/xmldom/xmldom/commit/2b852e836ab86dbbd6cbaf0537f584dd0b5ac184https://github.com/xmldom/xmldom/releases/tag/0.8.12https://github.com/xmldom/xmldom/releases/tag/0.9.9https://github.com/xmldom/xmldom/security/advisories/GHSA-wh4c-j3r5-mjhp