CVE-2026-49458 in DOMPurifyinformación

Resumen

por VulDB • 2026-07-15

DOMPurify es un sanitizer de cross-site scripting (XSS) basado únicamente en el DOM para HTML, MathML y SVG. Antes de la versión 3.4.6, DOMPurify.sanitize(node, { IN_PLACE: true }) aceptaba nodos del DOM de foreign-realm con mismo origen mientras que las comprobaciones posteriores utilizaban constructores de parent-realm, lo que provocaba el fallo de las comprobaciones instanceof para formularios, mapas de nodos nombrados, fragmentos de documento y elementos, omitiendo así las ramas de sanitización de clobber, template-content y shadow-DOM, permitiendo que el marcado ejecutable persistiera. Este problema está corregido en la versión 3.4.6.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsable

GitHub M

Reservar

2026-05-30

Divulgación

2026-07-15

Moderación

aceptado

Artículo

VDB-379172

CPE

listo

EPSS

0.00000

KEV

no

Actividades

bajo

Fuentes

Want to know what is going to be exploited?

We predict KEV entries!