CVE-2026-41672

Nome do Software Vulnerável e Versões Afetadas @xmldom/xmldom versões anteriores a 0.8.13 @xmldom/xmldom versões anteriores a 0.9.10 xmldom versões anteriores a 0.6.0

Descrição O software permite que o conteúdo de comentários controlado por um invasor seja serializado em XML sem validar ou neutralizar sequências de quebra de comentário. Isso ocorre durante o fluxo de construção e serialização do DOM para nós de comentário quando a função createComment() é chamada; a string fornecida é armazenada como está e, posteriormente, concatenada com delimitadores de comentário XML durante a serialização. Como os comentários XML são sensíveis à sintaxe, um invasor pode fornecer uma entrada contendo uma sequência que fecha o comentário, permitindo encerrar o comentário prematuramente e injetar nós XML arbitrários na saída serializada. Isso pode permitir que um invasor altere o significado e a estrutura de documentos XML gerados, afetando fluxos de trabalho que armazenam, encaminham, assinam ou analisam o XML resultante, como documentos de configuração ou políticas.

Recomendações Para as versões do @xmldom/xmldom anteriores a 0.8.13 e 0.9.10, atualize para a versão 0.8.13 ou 0.9.10 e passe explicitamente a opção { requireWellFormed: true } para a função serializeToString() para ativar a proteção. Para as versões do xmldom anteriores a 0.6.0, no momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.