CVE-2026-34601

Nome do Software Vulnerável e Versões Afetadas versões do xmldom 0.6.0 e anteriores, e @xmldom/xmldom anteriores às versões 0.8.12 e 0.9.9

Descrição A biblioteca xmldom contém uma falha onde strings controladas por um invasor, incluindo o terminador CDATA ]]>, podem ser inseridas em um nó CDATASection. Durante a serialização, o XMLSerializer emite o conteúdo CDATA sem rejeitar ou dividir com segurança o terminador. Isso permite que dados destinados a serem texto se tornem marcação XML ativa na saída serializada, permitindo a injeção da estrutura XML e a possível manipulação da lógica de negócios downstream. O problema afeta Document.createCDATASection(data), CharacterData.appendData(), CharacterData.replaceData(), CharacterData.insertData() e atribuição direta a .data ou .textContent. A análise de XML contendo uma seção CDATA não é afetada. A exploração pode levar a violações de integridade de documentos XML gerados e potencial injeção de lógica de negócios em consumidores downstream.

Recomendações Atualize para a versão xmldom 0.6.0 ou posterior. Atualize @xmldom/xmldom para a versão 0.8.12 ou 0.9.9 ou posterior.