CVE-2026-34601: Inyección XML en xmldom ≤0.6.0
Plataforma
nodejs
Componente
xmldom
CVE-2026-34601 permite que cadenas controladas por el atacante que contienen el terminador CDATA `]]>` se inserten en un nodo `CDATASection` en `@xmldom/xmldom`. Durante la serialización, `XMLSerializer` emite el contenido CDATA textualmente sin rechazar o dividir de forma segura el terminador, lo que permite la inyección de estructura XML y la manipulación de la lógica empresarial descendente. Afecta a versiones ≤0.6.0. No hay parche oficial disponible.
Cómo corregirlo
Sin parche oficial disponible. Busca alternativas o monitorea actualizaciones.
Preguntas frecuentes
¿Qué es la vulnerabilidad CVE-2026-34601?
CVE-2026-34601 es una vulnerabilidad de inyección XML en la biblioteca `@xmldom/xmldom` que permite a un atacante inyectar código XML malicioso a través de la manipulación de CDATA.
¿Estoy afectado por CVE-2026-34601?
Es probable que esté afectado si está utilizando la biblioteca `@xmldom/xmldom` en una versión inferior o igual a 0.6.0 y procesa datos XML no confiables.
¿Cómo puedo solucionar o mitigar CVE-2026-34601?
Actualmente no hay un parche oficial disponible. Como medida de mitigación, valide y limpie cuidadosamente los datos XML antes de procesarlos con `@xmldom/xmldom`.
Monitorea tus dependencias automáticamente
Recibe alertas cuando nuevas vulnerabilidades afecten tus proyectos. Gratis para siempre.
Comenzar gratis