xmldom: XML node injection through unvalidated comment serialization

A biblioteca xmldom não escapa corretamente caracteres especiais em comentários XML, permitindo que atacantes saiam do comentário e injetem código XML malicioso no resultado. Isso pode corromper dados ou criar vulnerabilidades de segurança em aplicações que processam XML não confiável.

A serialização de comentários XML no xmldom anterior às versões 0.9.10 e 0.8.13 não valida nem neutraliza sequências de encerramento de comentários (CWE-91: injeção XML), permitindo que um atacante que controle o conteúdo do comentário encerre prematuramente o comentário e injete nós XML arbitrários no resultado serializado. A vulnerabilidade requer que entrada do atacante seja incluída em comentários XML processados pelo XMLSerializer da biblioteca.