CVE-2026-41673

xmldom: Denial of service via uncontrolled recursion in XML serialization

CVSS 8.7 HIGHEPSS 0.6%CWE-674

Em resumo

A biblioteca xmldom falha quando processa documentos XML com elementos muito aninhados, causando a parada da aplicação por recursão ilimitada. Um atacante pode enviar um arquivo XML especialmente criado para derrubar aplicações que usam versões vulneráveis.

Detalhe técnico

Sete funções de serialização XML em lib/dom.js executam travessias recursivas sem limite de profundidade, permitindo que uma árvore DOM profundamente aninhada cause esgotamento de pilha (RangeError). O vetor de ataque é remoto via entrada XML maliciosa, sem autenticação necessária. O impacto é negação de serviço através do travamento da aplicação.

Resumo gerado e traduzido por IA a partir da descrição oficial.

xmldom is a pure JavaScript W3C standard-based (XML DOM Level 2 Core) `DOMParser` and `XMLSerializer` module. In @xmldom/xmldom prior to versions 0.9.10 and 0.8.13 and xmldom version 0.6.0 and prior, seven recursive traversals in lib/dom.js operate without a depth limit. A sufficiently deeply nested DOM tree causes a RangeError: Maximum call stack size exceeded, crashing the application. This issue has been patched in versions @xmldom/xmldom versions 0.9.10 and 0.8.13.

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N

Produtos afetados

xmldom · xmldom

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências