Plateforme
nodejs
Composant
xmldom
Corrigé dans
0.6.1
0.8.13
0.9.1
0.6.1
La vulnérabilité CVE-2026-34601 affecte la librairie xmldom et permet l'injection de structure XML via CDATA. Un attaquant peut insérer des chaînes contrôlées contenant le terminateur CDATA ']]>' dans un nœud CDATASection, permettant ainsi une manipulation de la logique métier en aval. Les versions affectées sont les versions inférieures ou égales à 0.6.0. Aucun correctif officiel n'est actuellement disponible.
La vulnérabilité CVE-2026-34601 dans @xmldom/xmldom permet à un attaquant d'injecter du code XML malveillant dans la sortie sérialisée. Plus précisément, l'insertion de chaînes contrôlées par l'attaquant contenant le terminateur CDATA ]]> dans un nœud CDATASection peut entraîner la création de balisage XML actif au lieu de texte brut. Le sérialiseur, ne validant ni ne divisant pas correctement le terminateur, lui permet d'être interprété comme faisant partie de la structure XML. Cela peut entraîner une manipulation de la logique métier dans les applications traitant la sortie XML, car l'attaquant peut modifier la structure du document XML en injectant des éléments ou des attributs inattendus. Le risque est important pour les applications qui dépendent de @xmldom/xmldom pour la manipulation et la sérialisation de XML.
Cette vulnérabilité est exploitée en insérant des chaînes malveillantes contenant ]]> dans un nœud CDATASection. Lorsque le XMLSerializer sérialise le document, il interprète incorrectement ]]> comme la fin de la section CDATA et le début d'un nouvel élément XML. Cela permet à l'attaquant d'injecter des éléments XML arbitraires dans le document. Le succès de l'exploitation dépend de la capacité de l'attaquant à contrôler l'entrée transmise à @xmldom/xmldom et de la vulnérabilité de l'application traitant la sortie XML. L'exploitation peut se produire dans les applications web qui traitent des données XML fournies par l'utilisateur, ou dans tout processus utilisant @xmldom/xmldom pour générer du XML.
Applications built on Node.js that utilize the @xmldom/xmldom library for XML processing are at risk. This includes applications that parse XML data from external sources, such as APIs or user uploads, without proper validation. Shared hosting environments where multiple applications share the same Node.js runtime are particularly vulnerable, as a compromise of one application could potentially impact others.
• nodejs / server:
ps aux | grep xmldom
find / -name "*xmldom*" -type d -print• generic web:
curl -I <your_application_url> | grep XML
grep -r 'CDATA[[]]' /var/log/apache2/access.logdisclosure
Statut de l'Exploit
EPSS
0.05% (percentile 17%)
CISA SSVC
Vecteur CVSS
Actuellement, il n'existe aucun correctif (fix) disponible pour CVE-2026-34601. L'atténuation principale consiste à éviter d'utiliser @xmldom/xmldom pour traiter des données non fiables. Si l'utilisation de la bibliothèque est nécessaire, nettoyez rigoureusement toutes les données d'entrée avant de créer des nœuds CDATASection. Cela implique de supprimer ou d'échapper le terminateur ]]>. De plus, évaluez la possibilité de mettre à niveau vers une version plus sécurisée de la bibliothèque dès qu'elle sera disponible. Surveiller les mises à jour de sécurité de @xmldom/xmldom est essentiel pour appliquer la correction dès qu'elle est publiée. La validation et le nettoyage des entrées sont les principales défenses en l'absence d'un correctif direct.
Actualizar la biblioteca xmldom a la versión 0.6.0 o superior, o a las versiones 0.8.12 o 0.9.9 o superior, según corresponda, para corregir la vulnerabilidad de inyección XML. Esto evitará que cadenas controladas por el atacante se inserten en nodos CDATASection y se interpreten como marcado XML activo.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CDATA (Character Data) est une section dans un document XML utilisée pour contenir du texte qui ne doit pas être interprété comme un balisage XML.
Elle permet à un attaquant de modifier la structure du document XML, ce qui peut entraîner une manipulation de la logique métier et potentiellement une exécution de code malveillant.
Évitez de traiter des données non fiables et nettoyez rigoureusement toutes les entrées avant de créer des nœuds CDATASection. Surveillez les mises à jour de sécurité.
Il n'y a pas de correctif direct. Le nettoyage des entrées est la meilleure atténuation temporaire.
Examinez votre code qui utilise @xmldom/xmldom pour identifier tout endroit où des données non fiables sont traitées dans des nœuds CDATASection.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.