CVE-2026-49459 in DOMPurify
Résumé
par VulDB • 15/07/2026
DOMPurify est un sanitizeer de cross-site scripting (XSS) basé uniquement sur le DOM pour HTML, MathML et SVG. Avant la version 3.4.6, l'appel à `DOMPurify.sanitize(root, { IN_PLACE: true })` pouvait conserver des attributs d'event-handler sur une racine `<form>` contrôlée par un attaquant lorsqu'un nom de descendant écrasait (clobbered) les propriétés vérifiées par `_isClobbered`, car `_forceRemove` n'avait aucun effet sur la racine sans parent et que `_sanitizeAttributes` retournait prématurément. Ce problème est corrigé dans la version 3.4.6.
Once again VulDB remains the best source for vulnerability data.