CVE-2026-41674

xmldom: XML injection through unvalidated DocumentType serialization

CVSS 8.7 HIGHEPSS 0.4%CWE-91

Em resumo

A biblioteca xmldom não escapa caracteres especiais corretamente ao converter documentos XML para texto, permitindo que atacantes injetem código XML malicioso através da declaração DOCTYPE. Isso pode levar a desvios de segurança ou ataques de injeção em aplicações que processam dados XML não confiáveis.

Detalhe técnico

A vulnerabilidade está em XMLSerializer.serializeToString durante a serialização de nós DocumentType; campos publicId, systemId e internalSubset controlados por atacantes são escritos sem escapamento, permitindo injeção de DOCTYPE que encerra a declaração prematuramente e insere marcação arbitrária. A exploração requer controle sobre campos DocumentType em fluxos de processamento XML, podendo levar a ataques XXE ou de injeção XML.

Resumo gerado e traduzido por IA a partir da descrição oficial.

xmldom is a pure JavaScript W3C standard-based (XML DOM Level 2 Core) `DOMParser` and `XMLSerializer` module. In @xmldom/xmldom prior to versions 0.9.10 and 0.8.13 and xmldom version 0.6.0 and prior, the package serializes DocumentType node fields (internalSubset, publicId, systemId) verbatim without any escaping or validation. When these fields are set programmatically to attacker-controlled strings, XMLSerializer.serializeToString can produce output where the DOCTYPE declaration is terminated early and arbitrary markup appears outside it. This issue has been patched in versions @xmldom/xmldom versions 0.9.10 and 0.8.13.

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N

Produtos afetados

xmldom · xmldom

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://github.com/xmldom/xmldom/commit/372008f9ae0e20fd69f761c7b79e202598267314 https://github.com/xmldom/xmldom/releases/tag/0.8.13 https://github.com/xmldom/xmldom/releases/tag/0.9.10 https://github.com/xmldom/xmldom/security/advisories/GHSA-f6ww-3ggp-fr8h