xmldom: XML node injection through unvalidated processing instruction serialization

La biblioteca xmldom no valida correctamente caracteres especiales en instrucciones de procesamiento XML, permitiendo que atacantes terminen prematuramente la instrucción e inyecten código XML malicioso. Esto puede corromper datos o inyectar contenido no autorizado.

La vulnerabilidad existe en el componente XMLSerializer, donde los datos de instrucciones de procesamiento controlados por un atacante se serializan sin neutralizar la secuencia de cierre (?>). Un atacante puede inyectar esta secuencia para finalizar anticipadamente la instrucción de procesamiento e insertar nodos XML arbitrarios. El ataque requiere control sobre el contenido de la instrucción y afecta las operaciones de serialización.