← voltar
CVE-2021-32796

Misinterpretation of malicious XML input in xmldom

CVSS 6.5 MEDIUMEPSS 1.3%CWE-116
Em resumo

A biblioteca xmldom não escapa corretamente caracteres especiais ao remover elementos XML de sua estrutura pai, o que pode fazer com que entrada XML maliciosa seja interpretada de forma inesperada e altere como aplicações que dependem dela processam os dados.

Detalhe técnico

O xmldom ≤0.6.0 não escapa adequadamente caracteres especiais durante a serialização de nós XML destacados, permitindo que um atacante crie documentos XML maliciosos que sofrem transformações sintáticas inesperadas quando processados por aplicações dependentes; a exploração requer que a aplicação analise e serialize conteúdo XML não confiável.

Resumo gerado e traduzido por IA a partir da descrição oficial.
xmldom is an open source pure JavaScript W3C standard-based (XML DOM Level 2 Core) DOMParser and XMLSerializer module. xmldom versions 0.6.0 and older do not correctly escape special characters when serializing elements removed from their ancestor. This may lead to unexpected syntactic changes during XML processing in some downstream applications. This issue has been resolved in version 0.7.0. As a workaround downstream applications can validate the input and reject the maliciously crafted documents.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
Produtos afetados
xmldom · xmldom

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://github.com/xmldom/xmldom/commit/7b4b743917a892d407356e055b296dcd6d107e8bhttps://github.com/xmldom/xmldom/security/advisories/GHSA-5fg8-2547-mr8qhttps://mattermost.com/blog/coordinated-disclosure-go-xml-vulnerabilities/