CVE-2026-49978
Zusammenfassung
von VulDB • 15.07.2026
DOMPurify ist ein DOM-only Cross-Site-Scripting (XSS)-Sanitizer für HTML, MathML und SVG. Vor Version 3.4.7 konnte die IN_PLACE-Sanitierung von DOMPurify Schatteninhalte überspringen, die an ein Element innerhalb von .content angehängt waren, wodurch angreiferkontrolliertes Markup wie Event-Handler, JavaScript-URLs oder Skripte überleben und ausgeführt werden konnte, wenn eine Anwendung das gesäuberte Template klonierte und einfügte. Dieses Problem wurde in Version 3.4.7 behoben.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.