CVE-2026-0540 in DOMPurifyالمعلومات

الملخص

بحسب VulDB • 29/05/2026

تحتوي إصدارات DOMPurify من 3.1.3 حتى 3.3.1 ومن 2.5.3 حتى 2.5.8، والمُصلحة في الالتزام 2726c74، على ثغرة برمجية تسمح بحقن نصوص عبر المواقع (Cross-Site Scripting - XSS)، تتيح للمهاجمين تجاوز تنقية السمات (attribute sanitization) عن طريق استغلال خمسة عناصر خام (rawtext elements) مفقودة (noscript، xmp، noembed، noframes، iframe) في التعبير النمطي SAFE_FOR_XML. يمكن للمهاجمين تضمين حمولات مثل `</noscript><img src=x onerror=alert(1)>` ضمن قيم السمات لتنفيذ أكواد JavaScript عند وضع المخرجات المُنقّاة داخل هذه السياقات الخام غير المحمية.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

VulnCheck

حجز

27/12/2025

إفشاء

03/03/2026

الاعتدال

تمت الموافقة

إدخال

VDB-348593

CPE

جاهز

CWE

CWE-79 (مؤكد)

CVSS

6.1 (CNA)

EPSS

0.00014

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-0540
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-0540
CVE Details	https://www.cvedetails.com/cve/CVE-2026-0540/

التالي ▸نظرة عامة ◂ السابق

Want to know what is going to be exploited?

We predict KEV entries!