つみかさね

CVE-2026-41674

High(7.5)

CVE-2026-41674 — xmldom DocumentTypeシリアライゼーション XMLインジェクション

公開日: 2026-04-24データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
xmldomxmldom (legacy)全バージョン(修正なし)
@xmldom/xmldomxmldom< 0.8.13
@xmldom/xmldomxmldom< 0.9.10

対応ガイド

high|推奨セキュリティ修正影響: 広範

推奨アクション

  1. 1プロジェクトでxmldomまたは@xmldom/xmldomを使用しているか確認する
  2. 2レガシーパッケージxmldomを使用している場合は@xmldom/xmldomへ移行する
  3. 3@xmldom/xmldom 0.8.13以降または0.9.10以降へアップデートする
  4. 4XML出力を信頼境界を越えて使用する箇所で出力の整合性を検証する

影響対象

xmldom / @xmldom/xmldom利用者

補足

  • -CVE-2026-41673、CVE-2026-41672、CVE-2026-41675と併せて対応してください
CVExmldomXMLインジェクションnpm

概要

XMLパーサーライブラリ「xmldom」のDocumentTypeノードのシリアライゼーション処理において、入力値の検証が不十分な脆弱性が存在します。攻撃者が細工したDocumentType値を含むXMLを処理させることで、シリアライズ出力に任意のXMLコンテンツを注入できる可能性があります。これにより、XML構造の改ざんやセキュリティ制御の回避が発生する恐れがあります。

CVSSベクトル

項目
スコア7.5(High)
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な特権なし
ユーザー関与不要

影響を受けるソフトウェア

製品ベンダー影響バージョン
xmldomxmldom (legacy)全バージョン(修正なし)
@xmldom/xmldomxmldom< 0.8.13
@xmldom/xmldomxmldom< 0.9.10

修正バージョンと回避策

  • 修正バージョン: @xmldom/xmldom 0.8.13 / 0.9.10
  • レガシーパッケージ xmldom には修正が提供されていません。@xmldom/xmldom への移行が必要です
  • XML出力を信頼境界を越えて使用する前に、出力の整合性を検証することを推奨します

関連リンク

データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-41673xmldom XMLシリアライゼーション再帰制御不備DoSCVSS 7.5CVE-2026-41672xmldom コメントシリアライゼーション XMLノードインジェクションCVSS 7.5CVE-2026-41675xmldom ProcessingInstructionシリアライゼーション XMLノードインジェクションCVSS 7.5

参考リンク

GHSA:https://github.com/advisories/GHSA-f6ww-3ggp-fr8h
NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-41674
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。