Root · @Rootio/Xmldom Xmldom · CVE-2026-41675
**Nome do Software Vulnerável e Versões Afetadas**
@xmldom/xmldom versões anteriores a 0.8.13
@xmldom/xmldom versões anteriores a 0.9.10
xmldom versões 0.6.0 e anteriores
**Descrição**
O software permite que dados de instrução de processamento (PI) controlados por um invasor sejam serializados em XML sem validar ou neutralizar a sequência de fechamento de PI `?>`. Isso ocorre porque a função `createProcessingInstruction()` armazena a variável `data` diretamente sem validação, e o serializador subsequentemente concatena esses dados literalmente. Um invasor pode usar a sequência `?>` para encerrar a instrução de processamento prematuramente e injetar nós XML arbitrários na saída serializada, podendo alterar a estrutura e o significado dos documentos XML gerados.
**Recomendações**
Para as versões do @xmldom/xmldom anteriores a 0.8.13 e 0.9.10, atualize para a versão 0.8.13 ou 0.9.10 e passe explicitamente a opção `{ requireWellFormed: true }` para a função `serializeToString()` para habilitar a validação que impede a injeção de sequências `?>`.
Para as versões do xmldom 0.6.0 e anteriores, no momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.