CVE-2026-41673

xmldom: Denial of service via uncontrolled recursion in XML serialization

CVSS 8.7 HIGHEPSS 0.6%CWE-674

En resumen

La biblioteca xmldom se bloquea al procesar documentos XML con elementos muy anidados debido a recursión ilimitada durante la serialización. Un atacante puede enviar un archivo XML especialmente diseñado para derribar aplicaciones que usan versiones vulnerables.

Detalle técnico

Siete funciones de serialización XML en lib/dom.js realizan traversals recursivos sin límite de profundidad, permitiendo que un árbol DOM profundamente anidado cause agotamiento de pila (RangeError). El vector de ataque es remoto mediante entrada XML maliciosa, sin autenticación requerida. El impacto es denegación de servicio mediante el bloqueo de la aplicación.

Resumen generado y traducido por IA a partir de la descripción oficial.

xmldom is a pure JavaScript W3C standard-based (XML DOM Level 2 Core) `DOMParser` and `XMLSerializer` module. In @xmldom/xmldom prior to versions 0.9.10 and 0.8.13 and xmldom version 0.6.0 and prior, seven recursive traversals in lib/dom.js operate without a depth limit. A sufficiently deeply nested DOM tree causes a RangeError: Maximum call stack size exceeded, crashing the application. This issue has been patched in versions @xmldom/xmldom versions 0.9.10 and 0.8.13.

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N

Productos afectados

xmldom · xmldom

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias