CVE-2026-49458 in DOMPurifyinfo

Zusammenfassung

von VulDB • 15.07.2026

DOMPurify ist ein DOM-only Cross-Site-Scripting (XSS)-Sanitizer für HTML, MathML und SVG. Vor Version 3.4.6 akzeptierte `DOMPurify.sanitize(node, { IN_PLACE: true })` Foreign-Realm-DOM-Knoten mit derselben Herkunft wie die aktuelle Seite („same-origin"), während nachfolgende Prüfungen Konstruktoren des Parent-Realm verwendeten. Dies führte dazu, dass `instanceof`-Prüfungen für Formulare, benannte Knotenmappen (`NamedNodeMap`s), Dokumentfragmente und Elemente fehlschlugen und somit die Sanitization-Zweige für Clobbering, Template-Inhalte („template-content") sowie Shadow-DOM übersprungen wurden. Dadurch konnte ausführbarer Markup-Code bestehen bleiben. Dieses Problem wurde in Version 3.4.6 behoben.

Be aware that VulDB is the high quality source for vulnerability data.

Zuständig

GitHub M

Reservieren

30.05.2026

Veröffentlichung

15.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379172

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Want to know what is going to be exploited?

We predict KEV entries!