つみかさね

CVE-2026-41673

High(7.5)

CVE-2026-41673 — xmldom XMLシリアライゼーション再帰制御不備DoS

公開日: 2026-04-24データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
xmldomxmldom (legacy)全バージョン(修正なし)
@xmldom/xmldomxmldom< 0.8.13
@xmldom/xmldomxmldom< 0.9.10

対応ガイド

high|推奨セキュリティ修正影響: 広範

推奨アクション

  1. 1プロジェクトでxmldomまたは@xmldom/xmldomを使用しているか確認する
  2. 2レガシーパッケージxmldomを使用している場合は@xmldom/xmldomへ移行する
  3. 3@xmldom/xmldom 0.8.13以降または0.9.10以降へアップデートする
  4. 4外部から受け取るXML入力に対してネストの深さを制限する

影響対象

xmldom / @xmldom/xmldom利用者

補足

  • -CVE-2026-41674、CVE-2026-41672、CVE-2026-41675と併せて対応してください
CVExmldomDoSnpm

概要

XMLパーサーライブラリ「xmldom」のXMLシリアライゼーション処理において、再帰の深さが適切に制御されていない脆弱性が存在します。攻撃者が細工したXML入力を処理させることで、無制限の再帰が発生し、スタックオーバーフローによるDoS(サービス拒否)を引き起こす可能性があります。

CVSSベクトル

項目
スコア7.5(High)
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な特権なし
ユーザー関与不要

影響を受けるソフトウェア

製品ベンダー影響バージョン
xmldomxmldom (legacy)全バージョン(修正なし)
@xmldom/xmldomxmldom< 0.8.13
@xmldom/xmldomxmldom< 0.9.10

修正バージョンと回避策

  • 修正バージョン: @xmldom/xmldom 0.8.13 / 0.9.10
  • レガシーパッケージ xmldom には修正が提供されていません。@xmldom/xmldom への移行が必要です
  • 外部から受け取るXML入力の検証を強化し、過度にネストされたXMLを拒否することを推奨します

関連リンク

データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-41674xmldom DocumentTypeシリアライゼーション XMLインジェクションCVSS 7.5CVE-2026-41672xmldom コメントシリアライゼーション XMLノードインジェクションCVSS 7.5CVE-2026-41675xmldom ProcessingInstructionシリアライゼーション XMLノードインジェクションCVSS 7.5

参考リンク

GHSA:https://github.com/advisories/GHSA-2v35-w6hq-6mfw
NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-41673
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。