Plattform
nodejs
Komponente
xmldom
Behoben in
0.6.1
0.8.13
0.9.1
0.6.1
CVE-2026-34601 affects the xmldom library, a JavaScript module implementing the W3C XML DOM standard. This vulnerability allows attackers to inject malicious XML markup into serialized output by exploiting improper handling of CDATA terminators. Versions of xmldom prior to 0.8.12 and 0.9.9 are vulnerable; updates to these versions or later are recommended to mitigate the risk.
CVE-2026-34601 in @xmldom/xmldom ermöglicht es einem Angreifer, bösartigen XML-Code in die serialisierte Ausgabe einzuschleusen. Insbesondere kann die Einfügung von angreifergesteuerten Strings, die den CDATA-Terminator ]]> enthalten, innerhalb eines CDATASection-Knotens dazu führen, dass aktives XML-Markup anstelle von Klartext erzeugt wird. Der Serialisierer, der den Terminator nicht korrekt validiert oder aufteilt, ermöglicht es, dass er als Teil der XML-Struktur interpretiert wird. Dies kann zu einer Manipulation der Geschäftslogik in Anwendungen führen, die die XML-Ausgabe verarbeiten, da der Angreifer die XML-Dokumentstruktur ändern kann, indem er unerwartete Elemente oder Attribute einschiebt. Das Risiko ist erheblich für Anwendungen, die auf @xmldom/xmldom für die XML-Manipulation und -Serialisierung angewiesen sind.
Diese Schwachstelle wird ausgenutzt, indem bösartige Strings, die ]]> enthalten, innerhalb eines CDATASection-Knotens eingefügt werden. Wenn der XMLSerializer das Dokument serialisiert, interpretiert er ]]> fälschlicherweise als das Ende der CDATA-Sektion und den Beginn eines neuen XML-Elements. Dadurch kann der Angreifer beliebige XML-Elemente in das Dokument einschleusen. Der Erfolg der Ausnutzung hängt von der Fähigkeit des Angreifers ab, die an @xmldom/xmldom übergebene Eingabe zu kontrollieren, und von der Anfälligkeit der Anwendung, die die XML-Ausgabe verarbeitet. Die Ausnutzung kann in Webanwendungen auftreten, die benutzerbereitgestellte XML-Daten verarbeiten, oder in jedem Prozess, der @xmldom/xmldom zur XML-Generierung verwendet.
Applications built on Node.js that utilize the @xmldom/xmldom library for XML processing are at risk. This includes applications that parse XML data from external sources, such as APIs or user uploads, without proper validation. Shared hosting environments where multiple applications share the same Node.js runtime are particularly vulnerable, as a compromise of one application could potentially impact others.
• nodejs / server:
ps aux | grep xmldom
find / -name "*xmldom*" -type d -print• generic web:
curl -I <your_application_url> | grep XML
grep -r 'CDATA[[]]' /var/log/apache2/access.logdisclosure
Exploit-Status
EPSS
0.05% (17% Perzentil)
CISA SSVC
CVSS-Vektor
Derzeit gibt es keinen Fix für CVE-2026-34601. Die primäre Abschwächung besteht darin, die Verwendung von @xmldom/xmldom zur Verarbeitung nicht vertrauenswürdiger Daten zu vermeiden. Wenn die Verwendung der Bibliothek erforderlich ist, müssen alle Eingabedaten vor der Erstellung von CDATASection-Knoten rigoros bereinigt werden. Dies beinhaltet das Entfernen oder Maskieren des Terminators ]]>. Darüber hinaus sollte die Möglichkeit einer Aktualisierung auf eine sicherere Version der Bibliothek geprüft werden, sobald diese verfügbar ist. Die Überwachung von Sicherheitsupdates für @xmldom/xmldom ist entscheidend, um den Fix anzuwenden, sobald er veröffentlicht wird. Die Validierung und Bereinigung der Eingabe sind die wichtigsten Schutzmaßnahmen bei Fehlen eines direkten Patches.
Actualizar la biblioteca xmldom a la versión 0.6.0 o superior, o a las versiones 0.8.12 o 0.9.9 o superior, según corresponda, para corregir la vulnerabilidad de inyección XML. Esto evitará que cadenas controladas por el atacante se inserten en nodos CDATASection y se interpreten como marcado XML activo.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
CDATA (Character Data) ist ein Abschnitt in einem XML-Dokument, der verwendet wird, um Text zu enthalten, der nicht als XML-Markup interpretiert werden soll.
Sie ermöglicht es einem Angreifer, die Struktur des XML-Dokuments zu ändern, was potenziell zu einer Manipulation der Geschäftslogik und sogar zur Codeausführung führen kann.
Vermeiden Sie die Verarbeitung nicht vertrauenswürdiger Daten und bereinigen Sie alle Eingaben rigoros, bevor Sie CDATASection-Knoten erstellen. Überwachen Sie Sicherheitsupdates.
Es gibt keinen direkten Fix. Die Eingabebereinigung ist die beste vorübergehende Abschwächung.
Überprüfen Sie Ihren Code, der @xmldom/xmldom verwendet, um alle Stellen zu identifizieren, an denen nicht vertrauenswürdige Daten innerhalb von CDATASection-Knoten verarbeitet werden.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.