UNKNOWNCVE-2026-34601
CVE-2026-34601:xmldom XML 结构注入漏洞
平台
nodejs
组件
xmldom
CVE-2026-34601 影响 `@xmldom/xmldom`,允许攻击者控制的字符串(包含 CDATA 终止符 `]]>`)插入到 `CDATASection` 节点中。在序列化期间,`XMLSerializer` 会逐字发出 CDATA 内容,而不拒绝或安全地拆分终止符。因此,原本仅为文本的数据在序列化输出中变为**活动 XML 标记**,从而实现 XML 结构注入和下游业务逻辑操作。此漏洞影响 0.6.0 及更早版本。目前尚无官方补丁可用,建议采取缓解措施。
修复方法
暂无官方补丁。请查找临时解决方案或持续关注更新。
常见问题
什么是 CVE-2026-34601 漏洞?
CVE-2026-34601 是 xmldom 中的一个 XML 结构注入漏洞,允许攻击者操纵 XML 结构。
我是否受到 CVE-2026-34601 漏洞的影响?
如果您正在使用 xmldom 0.6.0 及更早版本,那么您可能受到影响。
如何修复 CVE-2026-34601 漏洞?
目前没有官方补丁可用。建议采取安全措施,例如验证和清理 XML 输入,并密切关注 xmldom 官方的安全更新。