CVE-2026-49459 in DOMPurifyinfo

Zusammenfassung

von VulDB • 15.07.2026

DOMPurify ist ein DOM-basierter Cross-Site-Scripting-(XSS)-Sanitizer für HTML, MathML und SVG. Vor Version 3.4.6 konnte DOMPurify.sanitize(root, { IN_PLACE: true }) Event-Handler-Attribute auf einer vom Angreifer kontrollierten <form>-Root erhalten lassen, wenn der Name eines Nachkommens Elemente überschrieb (Clobbering), die von _isClobbered überprüft wurden, da _forceRemove bei der Root ohne Elternelement keine Operation ausführte und _sanitizeAttributes vorzeitig zurückkehrte. Dieses Problem wurde in Version 3.4.6 behoben.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Zuständig

GitHub M

Reservieren

30.05.2026

Veröffentlichung

15.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379159

CPE

bereit

EPSS

0.00254

KEV

nein

Aktivitäten

very low

Quellen

Want to know what is going to be exploited?

We predict KEV entries!