CVE-2026-41675

Nome do Software Vulnerável e Versões Afetadas @xmldom/xmldom versões anteriores a 0.8.13 @xmldom/xmldom versões anteriores a 0.9.10 xmldom versões 0.6.0 e anteriores

Descrição O software permite que dados de instrução de processamento (PI) controlados por um invasor sejam serializados em XML sem validar ou neutralizar a sequência de fechamento de PI ?>. Isso ocorre porque a função createProcessingInstruction() armazena a variável data diretamente sem validação, e o serializador subsequentemente concatena esses dados literalmente. Um invasor pode usar a sequência ?> para encerrar a instrução de processamento prematuramente e injetar nós XML arbitrários na saída serializada, podendo alterar a estrutura e o significado dos documentos XML gerados.

Recomendações Para as versões do @xmldom/xmldom anteriores a 0.8.13 e 0.9.10, atualize para a versão 0.8.13 ou 0.9.10 e passe explicitamente a opção { requireWellFormed: true } para a função serializeToString() para habilitar a validação que impede a injeção de sequências ?>. Para as versões do xmldom 0.6.0 e anteriores, no momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.