CVE-2026-41675 in xmldom
요약
\~에 의해 VulDB • 2026. 05. 21.
xmldom은 순수 JavaScript 기반의 W3C 표준(XML DOM Level 2 Core) 준수 `DOMParser` 및 `XMLSerializer` 모듈입니다. @xmldom/xmldom 0.9.10 및 0.8.13 이전 버전과 xmldom 0.6.0 및 그 이전 버전에서는 패키지가 공격자가 제어할 수 있는 처리 지시문(Processing Instruction, PI) 데이터를 PI 종료 시퀀스 `?>`에 대한 검증 또는 중화 없이 XML로 직렬화할 수 있게 합니다. 그 결과, 공격자가 처리 지시문을 조기에 종료하고 직렬화된 출력물에 임의의 XML 노드를 주입할 수 있습니다. 이 문제는 @xmldom/xmldom 버전 0.9.10 및 0.8.13에서 패치되었습니다.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.