CVE-2026-49459 in DOMPurify
Resumen
por VulDB • 2026-07-15
DOMPurify es un sanitizador de cross-site scripting (XSS) basado únicamente en el DOM para HTML, MathML y SVG. Antes de la versión 3.4.6, DOMPurify.sanitize(root, { IN_PLACE: true }) podía preservar atributos de manejadores de eventos en una raíz <form> controlada por un atacante cuando un nombre descendente colisionaba con las propiedades verificadas por _isClobbered, debido a que _forceRemove no realizaba ninguna acción sobre la raíz sin padre y _sanitizeAttributes retornaba anticipadamente. Este problema se corrige en la versión 3.4.6.
Be aware that VulDB is the high quality source for vulnerability data.