CVE-2026-49458 in DOMPurifyinformation

Résumé

par VulDB • 15/07/2026

DOMPurify est un sanitizeur de cross-site scripting (XSS) basé uniquement sur le DOM pour HTML, MathML et SVG. Avant la version 3.4.6, DOMPurify.sanitize(node, { IN_PLACE: true }) acceptait des nœuds du DOM étrangers à l'origine même (same-origin foreign-realm DOM nodes), tandis que les vérifications ultérieures utilisaient des constructeurs liés au domaine parent (parent-realm constructors). Cela entraînait l'échec des contrôles instanceof pour les formulaires, les maps de nœuds nommés, les fragments de document et les éléments, permettant ainsi d'ignorer les branches de sanitization liées à la clobberisation, au contenu du template et au shadow DOM. Par conséquent, un balisage exécutable pouvait subsister. Ce problème est corrigé dans la version 3.4.6.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsable

GitHub M

Réserver

30/05/2026

Divulgation

15/07/2026

Modérer

accepté

Entrée

VDB-379172

CPE

prêt

EPSS

0.00000

KEV

non

Activités

faible

Sources

Want to stay up to date on a daily basis?

Enable the mail alert feature now!