Scanner gratuitement
HIGHCVE-2026-34601CVSS 7.5

xmldom : l’injection XML via une sérialisation CDATA non sécurisée permet l’insertion de balises contrôlées par un attaquant

Plateforme

nodejs

Composant

xmldom

Corrigé dans

0.6.1

0.8.13

0.9.1

0.6.1

AI Confidence: highNVDEPSS 0.1%Révisé: mai 2026
Voir sur NVD
Sauvegarder

La vulnérabilité CVE-2026-34601 affecte la librairie xmldom et permet l'injection de structure XML via CDATA. Un attaquant peut insérer des chaînes contrôlées contenant le terminateur CDATA ']]>' dans un nœud CDATASection, permettant ainsi une manipulation de la logique métier en aval. Les versions affectées sont les versions inférieures ou égales à 0.6.0. Aucun correctif officiel n'est actuellement disponible.

Impact et Scénarios d'Attaque

La vulnérabilité CVE-2026-34601 dans @xmldom/xmldom permet à un attaquant d'injecter du code XML malveillant dans la sortie sérialisée. Plus précisément, l'insertion de chaînes contrôlées par l'attaquant contenant le terminateur CDATA ]]> dans un nœud CDATASection peut entraîner la création de balisage XML actif au lieu de texte brut. Le sérialiseur, ne validant ni ne divisant pas correctement le terminateur, lui permet d'être interprété comme faisant partie de la structure XML. Cela peut entraîner une manipulation de la logique métier dans les applications traitant la sortie XML, car l'attaquant peut modifier la structure du document XML en injectant des éléments ou des attributs inattendus. Le risque est important pour les applications qui dépendent de @xmldom/xmldom pour la manipulation et la sérialisation de XML.

Contexte d'Exploitation

Cette vulnérabilité est exploitée en insérant des chaînes malveillantes contenant ]]> dans un nœud CDATASection. Lorsque le XMLSerializer sérialise le document, il interprète incorrectement ]]> comme la fin de la section CDATA et le début d'un nouvel élément XML. Cela permet à l'attaquant d'injecter des éléments XML arbitraires dans le document. Le succès de l'exploitation dépend de la capacité de l'attaquant à contrôler l'entrée transmise à @xmldom/xmldom et de la vulnérabilité de l'application traitant la sortie XML. L'exploitation peut se produire dans les applications web qui traitent des données XML fournies par l'utilisateur, ou dans tout processus utilisant @xmldom/xmldom pour générer du XML.

Qui Est à Risquetraduction en cours…

Applications built on Node.js that utilize the @xmldom/xmldom library for XML processing are at risk. This includes applications that parse XML data from external sources, such as APIs or user uploads, without proper validation. Shared hosting environments where multiple applications share the same Node.js runtime are particularly vulnerable, as a compromise of one application could potentially impact others.

Étapes de Détectiontraduction en cours…

• nodejs / server:

  ps aux | grep xmldom
  find / -name "*xmldom*" -type d -print

• generic web:

  curl -I <your_application_url> | grep XML
  grep -r 'CDATA[[]]' /var/log/apache2/access.log

Chronologie de l'Attaque

  1. Disclosure

    disclosure

Renseignement sur les Menaces

Statut de l'Exploit

Preuve de ConceptInconnu
CISA KEVNO
Exposition InternetÉlevée
Rapports1 rapport de menace

EPSS

0.05% (percentile 17%)

CISA SSVC

Exploitationpoc
Automatisableyes
Impact Techniquepartial

Vecteur CVSS

RENSEIGNEMENT SUR LES MENACES· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N7.5HIGHAttack VectorNetworkComment l'attaquant atteint la cibleAttack ComplexityLowConditions requises pour exploiterPrivileges RequiredNoneNiveau d'authentification requisUser InteractionNoneSi une action de la victime est requiseScopeUnchangedImpact au-delà du composant affectéConfidentialityNoneRisque d'exposition de données sensiblesIntegrityHighRisque de modification non autorisée de donnéesAvailabilityNoneRisque d'interruption de servicenextguardhq.com · Score de base CVSS v3.1
Que signifient ces métriques?
Attack Vector
Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
Attack Complexity
Faible — aucune condition spéciale requise. Exploitable de manière fiable.
Privileges Required
Aucun — sans authentification. Aucune identifiant requis pour exploiter.
User Interaction
Aucune — attaque automatique et silencieuse. La victime ne fait rien.
Scope
Inchangé — impact limité au composant vulnérable.
Confidentiality
Aucun — aucun impact sur la confidentialité.
Integrity
Élevé — l'attaquant peut écrire, modifier ou supprimer toutes les données.
Availability
Aucun — aucun impact sur la disponibilité.

Logiciel Affecté

Composantxmldom
Fournisseurosv
Plage affectéeCorrigé dans
xmldom <= 0.6.0 – xmldom <= 0.6.00.6.1
@xmldom/xmldom < 0.8.12 – @xmldom/xmldom < 0.8.120.8.13
@xmldom/xmldom >= 0.9.0, < 0.9.9 – @xmldom/xmldom >= 0.9.0, < 0.9.90.9.1
0.6.00.6.1

Classification de Faiblesse (CWE)

CWE-91

Chronologie

  1. Réservé
  2. Publiée
  3. Modifiée
  4. EPSS mis à jour
Sans correctif — 53 jours depuis la divulgation

Mitigation et Contournements

Actuellement, il n'existe aucun correctif (fix) disponible pour CVE-2026-34601. L'atténuation principale consiste à éviter d'utiliser @xmldom/xmldom pour traiter des données non fiables. Si l'utilisation de la bibliothèque est nécessaire, nettoyez rigoureusement toutes les données d'entrée avant de créer des nœuds CDATASection. Cela implique de supprimer ou d'échapper le terminateur ]]>. De plus, évaluez la possibilité de mettre à niveau vers une version plus sécurisée de la bibliothèque dès qu'elle sera disponible. Surveiller les mises à jour de sécurité de @xmldom/xmldom est essentiel pour appliquer la correction dès qu'elle est publiée. La validation et le nettoyage des entrées sont les principales défenses en l'absence d'un correctif direct.

Comment corrigertraduction en cours…

Actualizar la biblioteca xmldom a la versión 0.6.0 o superior, o a las versiones 0.8.12 o 0.9.9 o superior, según corresponda, para corregir la vulnerabilidad de inyección XML. Esto evitará que cadenas controladas por el atacante se inserten en nodos CDATASection y se interpreten como marcado XML activo.

Newsletter Sécurité CVE

Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.

Questions fréquentes

Qu'est-ce que CVE-2026-34601 dans xmldom ?

CDATA (Character Data) est une section dans un document XML utilisée pour contenir du texte qui ne doit pas être interprété comme un balisage XML.

Suis-je affecté(e) par CVE-2026-34601 dans xmldom ?

Elle permet à un attaquant de modifier la structure du document XML, ce qui peut entraîner une manipulation de la logique métier et potentiellement une exécution de code malveillant.

Comment corriger CVE-2026-34601 dans xmldom ?

Évitez de traiter des données non fiables et nettoyez rigoureusement toutes les entrées avant de créer des nœuds CDATASection. Surveillez les mises à jour de sécurité.

CVE-2026-34601 est-il activement exploité ?

Il n'y a pas de correctif direct. Le nettoyage des entrées est la meilleure atténuation temporaire.

Où trouver l'avis officiel de xmldom pour CVE-2026-34601 ?

Examinez votre code qui utilise @xmldom/xmldom pour identifier tout endroit où des données non fiables sont traitées dans des nœuds CDATASection.

Ton projet est-il affecté ?

Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.

Scanner gratuitementRechercher des CVE