प्लेटफ़ॉर्म
nodejs
घटक
xmldom
में ठीक किया गया
0.6.1
0.8.13
0.9.1
0.6.1
CVE-2026-34601, xmldom लाइब्रेरी में एक XML संरचना इंजेक्शन भेद्यता है। इसका फायदा उठाकर, हमलावर CDATA टर्मिनेटर वाले स्ट्रिंग्स को इंजेक्ट कर सकते हैं, जिससे डेटा XML मार्कअप बन जाता है। यह भेद्यता xmldom के 0.6.0 और उससे पहले के संस्करणों को प्रभावित करती है। फिलहाल, इस समस्या को ठीक करने के लिए कोई आधिकारिक पैच उपलब्ध नहीं है।
CVE-2026-34601 @xmldom/xmldom में, हमलावर द्वारा नियंत्रित स्ट्रिंग में CDATA टर्मिनेटर ]]> शामिल होने पर, इसे CDATASection नोड में डाला जा सकता है। क्रमबद्धता के दौरान, XMLSerializer टर्मिनेटर को अस्वीकार या सुरक्षित रूप से विभाजित करने के बजाय, CDATA सामग्री को अपरिवर्तित आउटपुट करता है। परिणामस्वरूप, मूल रूप से टेक्स्ट-ओनली के रूप में इरादा डेटा, क्रमबद्ध आउटपुट में सक्रिय XML मार्कअप बन जाता है, जिससे XML संरचना इंजेक्शन और परिणामस्वरूप डाउनस्ट्रीम बिजनेस लॉजिक मैनिपुलेशन सक्षम होता है। ]]> अनुक्रम CDATA के अंदर अनुमत नहीं है।
यह भेद्यता CDATASection नोड के अंदर ]]> युक्त दुर्भावनापूर्ण स्ट्रिंग को सम्मिलित करके शोषण किया जाता है। जब XMLSerializer दस्तावेज़ को क्रमबद्ध करता है, तो यह गलत तरीके से ]]> को CDATA अनुभाग के अंत और एक नए XML तत्व की शुरुआत के रूप में व्याख्या करता है। यह हमलावर को दस्तावेज़ में मनमाना XML तत्व सम्मिलित करने की अनुमति देता है। शोषण की सफलता हमलावर की @xmldom/xmldom को पारित इनपुट को नियंत्रित करने की क्षमता और XML आउटपुट को संसाधित करने वाले एप्लिकेशन की भेद्यता पर निर्भर करती है। शोषण उपयोगकर्ता द्वारा प्रदान किए गए XML डेटा को संसाधित करने वाले वेब अनुप्रयोगों में या @xmldom/xmldom का उपयोग करके XML उत्पन्न करने वाली किसी भी प्रक्रिया में हो सकता है।
Applications built on Node.js that utilize the @xmldom/xmldom library for XML processing are at risk. This includes applications that parse XML data from external sources, such as APIs or user uploads, without proper validation. Shared hosting environments where multiple applications share the same Node.js runtime are particularly vulnerable, as a compromise of one application could potentially impact others.
• nodejs / server:
ps aux | grep xmldom
find / -name "*xmldom*" -type d -print• generic web:
curl -I <your_application_url> | grep XML
grep -r 'CDATA[[]]' /var/log/apache2/access.logdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.05% (17% शतमक)
CISA SSVC
CVSS वेक्टर
वर्तमान में, CVE-2026-34601 के लिए कोई फिक्स उपलब्ध नहीं है। प्राथमिक शमन उपाय @xmldom/xmldom का उपयोग अविश्वसनीय डेटा को संसाधित करने से बचना है। यदि लाइब्रेरी का उपयोग करना आवश्यक है, तो CDATASection नोड बनाने से पहले किसी भी इनपुट डेटा को कड़ाई से सैनिटाइज करना उचित है। इसमें टर्मिनेटर ]]> को हटाना या एस्केप करना शामिल है। इसके अतिरिक्त, जब उपलब्ध हो, तो लाइब्रेरी के अधिक सुरक्षित संस्करण में अपग्रेड करने पर विचार करें। @xmldom/xmldom के सुरक्षा अपडेट की निगरानी करना, जैसे ही यह जारी किया जाता है, फिक्स को लागू करने के लिए महत्वपूर्ण है। प्रत्यक्ष फिक्स की अनुपस्थिति में, इनपुट सत्यापन और सैनिटाइजेशन सबसे महत्वपूर्ण सुरक्षा उपाय हैं।
Actualizar la biblioteca xmldom a la versión 0.6.0 o superior, o a las versiones 0.8.12 o 0.9.9 o superior, según corresponda, para corregir la vulnerabilidad de inyección XML. Esto evitará que cadenas controladas por el atacante se inserten en nodos CDATASection y se interpreten como marcado XML activo.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CDATA (Character Data) एक XML दस्तावेज़ का एक खंड है जिसका उपयोग ऐसे टेक्स्ट को रखने के लिए किया जाता है जिसे XML मार्कअप के रूप में व्याख्या नहीं किया जाना चाहिए।
यह हमलावर को XML दस्तावेज़ की संरचना को संशोधित करने की अनुमति देता है, जिससे बिजनेस लॉजिक मैनिपुलेशन और यहां तक कि कोड निष्पादन भी हो सकता है।
अविश्वसनीय डेटा को संसाधित करने से बचें और CDATASection नोड बनाने से पहले किसी भी इनपुट को कड़ाई से सैनिटाइज करें। सुरक्षा अपडेट की निगरानी करें।
कोई प्रत्यक्ष फिक्स नहीं है। इनपुट सैनिटाइजेशन सबसे अच्छा अस्थायी शमन है।
CDATASection नोड्स के अंदर अविश्वसनीय डेटा को संसाधित करने वाले स्थानों की पहचान करने के लिए @xmldom/xmldom का उपयोग करने वाले अपने कोड की जांच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।