CVE-2026-49459 in DOMPurify
Zusammenfassung
von VulDB • 15.07.2026
DOMPurify ist ein DOM-basierter Cross-Site-Scripting-(XSS)-Sanitizer für HTML, MathML und SVG. Vor Version 3.4.6 konnte DOMPurify.sanitize(root, { IN_PLACE: true }) Event-Handler-Attribute auf einer vom Angreifer kontrollierten <form>-Root erhalten lassen, wenn der Name eines Nachkommens Elemente überschrieb (Clobbering), die von _isClobbered überprüft wurden, da _forceRemove bei der Root ohne Elternelement keine Operation ausführte und _sanitizeAttributes vorzeitig zurückkehrte. Dieses Problem wurde in Version 3.4.6 behoben.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.