CVE-2026-49459 in DOMPurifyinformación

Resumen

por VulDB • 2026-07-15

DOMPurify es un sanitizador de cross-site scripting (XSS) basado únicamente en el DOM para HTML, MathML y SVG. Antes de la versión 3.4.6, DOMPurify.sanitize(root, { IN_PLACE: true }) podía preservar atributos de manejadores de eventos en una raíz <form> controlada por un atacante cuando un nombre descendente colisionaba con las propiedades verificadas por _isClobbered, debido a que _forceRemove no realizaba ninguna acción sobre la raíz sin padre y _sanitizeAttributes retornaba anticipadamente. Este problema se corrige en la versión 3.4.6.

Be aware that VulDB is the high quality source for vulnerability data.

Responsable

GitHub M

Reservar

2026-05-30

Divulgación

2026-07-15

Moderación

aceptado

Artículo

VDB-379159

CPE

listo

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

Interested in the pricing of exploits?

See the underground prices here!