CVE-2026-41240 in DOMPurifyinformación

Resumen

por VulDB • 2026-05-13

DOMPurify es un sanitizador de cross-site scripting (XSS) basado únicamente en el DOM para HTML, MathML y SVG. Las versiones anteriores a la 3.4.0 presentan una inconsistencia en el manejo de FORBID_TAGS y FORBID_ATTR cuando se utiliza ADD_TAGS basado en funciones. El commit c361baa añadió una salida temprana para FORBID_ATTR en la línea 1214. La misma corrección no se aplicó a FORBID_TAGS. En las líneas 1118-1123, cuando EXTRA_ELEMENT_HANDLING.tagCheck devuelve true, la evaluación de cortocircuito omite por completo la comprobación de FORBID_TAGS. Esto permite que los elementos prohibidos sobrevivan al proceso de sanitización con sus atributos intactos. La versión 3.4.0 corrige el problema.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-04-18

Divulgación

2026-04-23

Moderación

aceptado

Artículo

VDB-359153

CPE

listo

CWE

CWE-183 (confirmado)

CVSS

4.3 (VulDB)

EPSS

0.00013

KEV

Actividades

muy bajo

Fuentes

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-41240
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-41240
CVE Details	https://www.cvedetails.com/cve/CVE-2026-41240/

◂ Anterior Visión De Conjunto Próximo ▸

Might our Artificial Intelligence support you?

Check our Alexa App!