CVE-2021-21366

Misinterpretation of malicious XML input

CVSS 4.3 MEDIUMEPSS 1.3%CWE-115 CWE-436

Em resumo

A biblioteca xmldom não preserva corretamente documentos XML maliciosamente criados quando os processa, causando mudanças inesperadas na estrutura. Isso permite que um atacante altere conteúdo XML de forma que possa burlar verificações de segurança em aplicações que usam essa biblioteca.

Detalhe técnico

xmldom ≤0.4.0 falha ao preservar corretamente identificadores de sistema, FPIs e namespaces durante ciclos repetidos de análise e serialização de XML malicioso. Um atacante pode fornecer entrada XML maliciosa que, ao ser processada por aplicações vulneráveis, sofre transformações sintáticas capazes de contornar lógica de validação ou políticas de segurança (CWE-115: Entrada Interpretada Incorretamente, CWE-436: Conflito de Interpretação).

Resumo gerado e traduzido por IA a partir da descrição oficial.

xmldom is a pure JavaScript W3C standard-based (XML DOM Level 2 Core) DOMParser and XMLSerializer module. xmldom versions 0.4.0 and older do not correctly preserve system identifiers, FPIs or namespaces when repeatedly parsing and serializing maliciously crafted documents. This may lead to unexpected syntactic changes during XML processing in some downstream applications. This is fixed in version 0.5.0. As a workaround downstream applications can validate the input and reject the maliciously crafted documents.

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N

Produtos afetados

xmldom · xmldom

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://github.com/xmldom/xmldom/commit/d4201b9dfbf760049f457f9f08a3888d48835135 https://github.com/xmldom/xmldom/releases/tag/0.5.0 https://github.com/xmldom/xmldom/security/advisories/GHSA-h6q6-9hqw-rwfv https://lists.debian.org/debian-lts-announce/2023/01/msg00000.html https://www.npmjs.com/package/xmldom