PT-2022-5710 · Npm+2 · Xmldom+2
Mark Gollnick
·
Publicado
2022-10-30
·
Atualizado
2023-05-24
·
CVE-2022-39353
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do xmldom anteriores à 0.7.7
Versões do xmldom anteriores à 0.8.4
Versões do xmldom anteriores à 0.9.0-beta.4
Descrição
O problema está relacionado ao módulo xmldom, que é um módulo
DOMParser e XMLSerializer do XML DOM Level 2 Core, baseado no padrão W3C e escrito inteiramente em JavaScript. Ele analisa XML que não está bem formado, pois contém vários elementos de nível superior, e adiciona todos os nós raiz à coleção childNodes do Document, sem relatar nenhum erro ou lançar uma exceção. Isso viola a suposição de que existe apenas um único nó raiz na árvore. A vulnerabilidade pode permitir que um invasor remoto obtenha acesso não autorizado ao aplicativo enviando dados especialmente criados.Recomendações
Atualize para @xmldom/xmldom@~0.7.7
Atualize para @xmldom/xmldom@~0.8.4 (dist-tag latest)
Atualize para @xmldom/xmldom@>=0.9.0-beta.4 (dist-tag next)
Como solução alternativa temporária, considere pesquisar elementos apenas no
documentElement em vez de em todo o DOM, ou rejeite um documento com mais de um childNode.Exploit
Correção
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Linuxmint
Ubuntu
Xmldom