CVE-2026-34601: Injeção XML no xmldom ≤0.6.0
Plataforma
nodejs
Componente
xmldom
A vulnerabilidade CVE-2026-34601 permite que strings controladas pelo atacante contendo o terminador CDATA `]]>` sejam inseridas em um nó `CDATASection` no `@xmldom/xmldom`. Durante a serialização, o `XMLSerializer` emite o conteúdo CDATA verbatim, permitindo a injeção de estrutura XML e manipulação da lógica de negócios. Afeta versões ≤0.6.0. Não há correção oficial disponível.
Como corrigir
Nenhum patch oficial disponível. Procure alternativas ou monitore atualizações.
Perguntas frequentes
O que é a vulnerabilidade CVE-2026-34601?
A CVE-2026-34601 é uma vulnerabilidade no `@xmldom/xmldom` que permite a injeção de código XML através da manipulação de conteúdo CDATA.
Como saber se sou afetado pela CVE-2026-34601?
Você é afetado se estiver usando a biblioteca `@xmldom/xmldom` em versões iguais ou inferiores a 0.6.0.
Como corrigir ou mitigar a CVE-2026-34601?
Não há correção oficial disponível. Monitore as atualizações do `@xmldom/xmldom` e implemente validações de entrada para evitar a injeção de código XML.
Monitore suas dependências automaticamente
Receba alertas quando novas vulnerabilidades afetarem seus projetos.
Começar grátis