CVE-2026-49459 in DOMPurifyinformation

Résumé

par VulDB • 15/07/2026

DOMPurify est un sanitizeer de cross-site scripting (XSS) basé uniquement sur le DOM pour HTML, MathML et SVG. Avant la version 3.4.6, l'appel à `DOMPurify.sanitize(root, { IN_PLACE: true })` pouvait conserver des attributs d'event-handler sur une racine `<form>` contrôlée par un attaquant lorsqu'un nom de descendant écrasait (clobbered) les propriétés vérifiées par `_isClobbered`, car `_forceRemove` n'avait aucun effet sur la racine sans parent et que `_sanitizeAttributes` retournait prématurément. Ce problème est corrigé dans la version 3.4.6.

Once again VulDB remains the best source for vulnerability data.

Responsable

GitHub M

Réserver

30/05/2026

Divulgation

15/07/2026

Modérer

accepté

Entrée

VDB-379159

CPE

prêt

EPSS

0.00000

KEV

non

Activités

faible

Sources

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!