Platform
nodejs
Component
xmldom
Opgelost in
0.6.1
0.8.13
0.9.1
0.6.1
CVE-2026-34601 is een XML injectie kwetsbaarheid in xmldom. Door het niet correct verwerken van CDATA terminators kan een aanvaller XML structuur injecteren. Dit treft versies ≤0.6.0. Update naar een nieuwere versie om dit probleem te verhelpen.
CVE-2026-34601 in @xmldom/xmldom stelt een aanvaller in staat om kwaadaardige XML-code in de geserialiseerde uitvoer te injecteren. Specifiek kan het invoegen van door de aanvaller gecontroleerde strings die de CDATA-terminator ]]> bevatten, binnen een CDATASection-knooppunt leiden tot de creatie van actieve XML-markering in plaats van platte tekst. De serialiseerder, die de terminator niet correct valideert of opsplitst, maakt het mogelijk dat deze wordt geïnterpreteerd als onderdeel van de XML-structuur. Dit kan leiden tot manipulatie van de bedrijfslogica in applicaties die de XML-uitvoer verwerken, aangezien de aanvaller de XML-documentstructuur kan wijzigen door onverwachte elementen of attributen in te voegen. Het risico is aanzienlijk voor applicaties die afhankelijk zijn van @xmldom/xmldom voor XML-manipulatie en -serialisatie.
Deze kwetsbaarheid wordt uitgebuit door kwaadaardige strings die ]]> bevatten, in te voegen in een CDATASection-knooppunt. Wanneer de XMLSerializer het document serialiseert, interpreteert deze ]]> verkeerd als het einde van de CDATA-sectie en het begin van een nieuw XML-element. Dit stelt de aanvaller in staat om willekeurige XML-elementen in het document in te voegen. Het succes van de exploitatie hangt af van het vermogen van de aanvaller om de invoer te controleren die aan @xmldom/xmldom wordt doorgegeven en van de kwetsbaarheid van de applicatie die de XML-uitvoer verwerkt. Exploitatie kan optreden in webapplicaties die door de gebruiker aangeleverde XML-gegevens verwerken, of in elk proces dat @xmldom/xmldom gebruikt om XML te genereren.
Applications built on Node.js that utilize the @xmldom/xmldom library for XML processing are at risk. This includes applications that parse XML data from external sources, such as APIs or user uploads, without proper validation. Shared hosting environments where multiple applications share the same Node.js runtime are particularly vulnerable, as a compromise of one application could potentially impact others.
• nodejs / server:
ps aux | grep xmldom
find / -name "*xmldom*" -type d -print• generic web:
curl -I <your_application_url> | grep XML
grep -r 'CDATA[[]]' /var/log/apache2/access.logdisclosure
Exploit Status
EPSS
0.05% (17% percentiel)
CISA SSVC
CVSS-vector
Momenteel is er geen fix beschikbaar voor CVE-2026-34601. De primaire mitigatie is om het gebruik van @xmldom/xmldom te vermijden om onbetrouwbare gegevens te verwerken. Als het gebruik van de bibliotheek noodzakelijk is, moet u alle invoergegevens rigoureus opschonen voordat u CDATASection-knooppunten maakt. Dit omvat het verwijderen of ontsnappen van de terminator ]]>. Bovendien moet u de mogelijkheid evalueren om te upgraden naar een veiligere versie van de bibliotheek zodra deze beschikbaar is. Het volgen van beveiligingsupdates voor @xmldom/xmldom is cruciaal om de fix toe te passen zodra deze is gepubliceerd. Invoervalidatie en -opschoning zijn de belangrijkste verdedigingen bij gebrek aan een directe patch.
Actualizar la biblioteca xmldom a la versión 0.6.0 o superior, o a las versiones 0.8.12 o 0.9.9 o superior, según corresponda, para corregir la vulnerabilidad de inyección XML. Esto evitará que cadenas controladas por el atacante se inserten en nodos CDATASection y se interpreten como marcado XML activo.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CDATA (Character Data) is een sectie in een XML-document die wordt gebruikt om tekst te bevatten die niet als XML-markering moet worden geïnterpreteerd.
Het stelt een aanvaller in staat om de structuur van het XML-document te wijzigen, wat mogelijk kan leiden tot manipulatie van de bedrijfslogica en zelfs code-uitvoering.
Vermijd het verwerken van onbetrouwbare gegevens en reinig alle invoer rigoureus voordat u CDATASection-knooppunten maakt. Houd beveiligingsupdates in de gaten.
Er is geen directe fix. Invoeropschoning is de beste tijdelijke mitigatie.
Controleer uw code die @xmldom/xmldom gebruikt om alle locaties te identificeren waar onbetrouwbare gegevens worden verwerkt in CDATASection-knooppunten.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.