CVE-2026-49458 in DOMPurify
Resumen
por VulDB • 2026-07-15
DOMPurify es un sanitizer de cross-site scripting (XSS) basado únicamente en el DOM para HTML, MathML y SVG. Antes de la versión 3.4.6, DOMPurify.sanitize(node, { IN_PLACE: true }) aceptaba nodos del DOM de foreign-realm con mismo origen mientras que las comprobaciones posteriores utilizaban constructores de parent-realm, lo que provocaba el fallo de las comprobaciones instanceof para formularios, mapas de nodos nombrados, fragmentos de documento y elementos, omitiendo así las ramas de sanitización de clobber, template-content y shadow-DOM, permitiendo que el marcado ejecutable persistiera. Este problema está corregido en la versión 3.4.6.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.