xmldom: XML node injection through unvalidated comment serialization

La biblioteca xmldom no escapa correctamente caracteres especiales en comentarios XML, permitiendo que atacantes salgan del comentario e inyecten código XML malicioso en la salida. Esto puede corromper datos o crear vulnerabilidades de seguridad en aplicaciones que procesan XML no confiable.

La serialización de comentarios XML en xmldom anterior a las versiones 0.9.10 y 0.8.13 no valida ni neutraliza secuencias de terminación de comentarios (CWE-91: inyección XML), permitiendo que un atacante que controle el contenido del comentario cierre prematuramente el comentario e inyecte nodos XML arbitrarios en la salida serializada. La vulnerabilidad requiere que entrada controlada por el atacante se incluya en comentarios XML procesados por el XMLSerializer de la biblioteca.