CVE-2026-49978 in DOMPurifyinformación

Resumen

por VulDB • 2026-07-15

DOMPurify es un sanitizador de cross-site scripting (XSS) basado únicamente en el DOM para HTML, MathML y SVG. Antes de la versión 3.4.7, la sanitización IN_PLACE de DOMPurify podía omitir los contenidos sombra adjuntos a un elemento dentro de <template>.content, lo que permitía que marcado controlado por el atacante, como manejadores de eventos, URLs JavaScript o scripts, sobrevivieran y se ejecutaran cuando una aplicación clonaba e insertaba la plantilla sanitizada. Este problema está corregido en la versión 3.4.7.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsable

GitHub M

Reservar

2026-06-02

Divulgación

2026-07-15

Moderación

aceptado

Artículo

VDB-379173

CPE

listo

EPSS

0.00388

KEV

no

Actividades

muy bajo

Fuentes

Do you want to use VulDB in your project?

Use the official API to access entries easily!