Mark Gollnick

**Nome do software vulnerável e versões afetadas** Versões do xmldom anteriores à 0.7.7 Versões do xmldom anteriores à 0.8.4 Versões do xmldom anteriores à 0.9.0-beta.4 **Descrição** O problema está relacionado ao módulo xmldom, que é um módulo `DOMParser` e `XMLSerializer` do XML DOM Level 2 Core, baseado no padrão W3C e escrito inteiramente em JavaScript. Ele analisa XML que não está bem formado, pois contém vários elementos de nível superior, e adiciona todos os nós raiz à coleção `childNodes` do `Document`, sem relatar nenhum erro ou lançar uma exceção. Isso viola a suposição de que existe apenas um único nó raiz na árvore. A vulnerabilidade pode permitir que um invasor remoto obtenha acesso não autorizado ao aplicativo enviando dados especialmente criados. **Recomendações** Atualize para @xmldom/xmldom@~0.7.7 Atualize para @xmldom/xmldom@~0.8.4 (dist-tag latest) Atualize para @xmldom/xmldom@>=0.9.0-beta.4 (dist-tag next) Como solução alternativa temporária, considere pesquisar elementos apenas no `documentElement` em vez de em todo o DOM, ou rejeite um documento com mais de um `childNode`.