PT-2026-34616 · Root+4 · @Rootio/Xmldom Xmldom+3
Jvr2022
+2
·
Publicado
2026-04-22
·
Atualizado
2026-06-04
·
CVE-2026-41673
CVSS v4.0
8.7
Alta
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N |
Nome do Software Vulnerável e Versões Afetadas
@xmldom/xmldom versões anteriores a 0.8.13
@xmldom/xmldom versões anteriores a 0.9.10
xmldom versões 0.6.0 e anteriores
Descrição
Sete travessias recursivas em
lib/dom.js operam sem limite de profundidade. Ao processar uma árvore DOM suficientemente aninhada, a pilha de chamadas do JavaScript é esgotada, resultando em um RangeError: Maximum call stack size exceeded e causando a queda da aplicação. Isso pode levar a uma negação de serviço se um serviço aceitar XML controlado por um invasor e executar qualquer uma das operações afetadas.As funções e pontos de entrada afetados incluem
Node.prototype.normalize()XMLSerializer.serializeToString()Element.getElementsByTagName(),getElementsByTagNameNS(),getElementsByClassName()egetElementById()(através da funçãovisitNode)Node.cloneNode(true)Document.importNode(node, true)node.textContent(getter)Node.isEqualNode(other)
Recomendações
Atualize o @xmldom/xmldom para a versão 0.8.13 ou 0.9.10.
Atualize o xmldom para uma versão posterior à 0.6.0.
Como medida paliativa temporária, restrinja o uso das funções afetadas ou limite a profundidade de aninhamento de documentos XML antes que sejam processados pela biblioteca.
Exploit
Correção
DoS
Uncontrolled Recursion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
@Rootio/Xmldom Xmldom
@Xmldom/Xmldom
Node-Xmldom
Xmldom