Tharvid

**Nome do Software Vulnerável e Versões Afetadas** fast-xml-parser versões anteriores a 5.7.0 **Descrição** O XMLBuilder não escapa a sequência "-->" no conteúdo de comentários nem a sequência ">>" em seções CDATA ao construir XML a partir de objetos JavaScript. Essa falha permite a injeção de XML quando dados controlados pelo usuário fluem para comentários ou elementos CDATA, podendo levar a cross-site scripting (XSS), injeção SOAP ou manipulação de dados. **Recomendações** Atualizar para a versão 5.7.0.

**Nome do Software Vulnerável e Versões Afetadas** @xmldom/xmldom versões anteriores a 0.8.13 @xmldom/xmldom versões anteriores a 0.9.10 xmldom versões anteriores a 0.6.0 **Descrição** O software permite que o conteúdo de comentários controlado por um invasor seja serializado em XML sem validar ou neutralizar sequências de quebra de comentário. Isso ocorre durante o fluxo de construção e serialização do DOM para nós de comentário quando a função `createComment()` é chamada; a string fornecida é armazenada como está e, posteriormente, concatenada com delimitadores de comentário XML durante a serialização. Como os comentários XML são sensíveis à sintaxe, um invasor pode fornecer uma entrada contendo uma sequência que fecha o comentário, permitindo encerrar o comentário prematuramente e injetar nós XML arbitrários na saída serializada. Isso pode permitir que um invasor altere o significado e a estrutura de documentos XML gerados, afetando fluxos de trabalho que armazenam, encaminham, assinam ou analisam o XML resultante, como documentos de configuração ou políticas. **Recomendações** Para as versões do @xmldom/xmldom anteriores a 0.8.13 e 0.9.10, atualize para a versão 0.8.13 ou 0.9.10 e passe explicitamente a opção `{ requireWellFormed: true }` para a função `serializeToString()` para ativar a proteção. Para as versões do xmldom anteriores a 0.6.0, no momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** @xmldom/xmldom versões anteriores a 0.8.13 @xmldom/xmldom versões anteriores a 0.9.10 xmldom versões anteriores a 0.6.0 **Descrição** O pacote serializa os campos do nó `DocumentType` (`internalSubset`, `publicId` e `systemId`) literalmente, sem escape ou validação. Quando esses campos são definidos programaticamente através da função `createDocumentType()` ou gravações diretas de propriedades usando strings controladas por um invasor, o método `XMLSerializer.serializeToString` pode produzir uma saída onde a declaração DOCTYPE é encerrada prematuramente, permitindo que marcações arbitrárias apareçam fora dela. Especificamente, a injeção de `]>` no `internalSubset` ou `>` no `systemId` pode fechar o DOCTYPE precocemente, enquanto a manipulação do `publicId` pode quebrar o contexto de aspas para injetar entradas SYSTEM falsas. Isso pode levar a ataques do tipo XXE se analisadores XML subsequentes reprocessarem a saída com a expansão de entidades habilitada. **Recomendações** Atualize o @xmldom/xmldom para as versões 0.8.13 ou 0.9.10. Atualize o xmldom para uma versão posterior a 0.6.0. Como medida de mitigação, passe a opção `{ requireWellFormed: true }` para o método `serializeToString()` para habilitar a validação dos campos `DocumentType` e lançar um `InvalidStateError` ao detectar sequências de injeção.

**Nome do Software Vulnerável e Versões Afetadas** @xmldom/xmldom versões anteriores a 0.8.13 @xmldom/xmldom versões anteriores a 0.9.10 xmldom versões 0.6.0 e anteriores **Descrição** O software permite que dados de instrução de processamento (PI) controlados por um invasor sejam serializados em XML sem validar ou neutralizar a sequência de fechamento de PI `?>`. Isso ocorre porque a função `createProcessingInstruction()` armazena a variável `data` diretamente sem validação, e o serializador subsequentemente concatena esses dados literalmente. Um invasor pode usar a sequência `?>` para encerrar a instrução de processamento prematuramente e injetar nós XML arbitrários na saída serializada, podendo alterar a estrutura e o significado dos documentos XML gerados. **Recomendações** Para as versões do @xmldom/xmldom anteriores a 0.8.13 e 0.9.10, atualize para a versão 0.8.13 ou 0.9.10 e passe explicitamente a opção `{ requireWellFormed: true }` para a função `serializeToString()` para habilitar a validação que impede a injeção de sequências `?>`. Para as versões do xmldom 0.6.0 e anteriores, no momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.