CVE-2024-45801 in DOMPurify
Riassunto
di VulDB • 16/06/2026
DOMPurify è un sanitizer XSS basato esclusivamente sul DOM, estremamente veloce e altamente tollerante, per HTML, MathML e SVG. È stato scoperto che HTML malevolo che utilizza tecniche di annidamento speciali può eludere il controllo della profondità aggiunto a DOMPurify nelle versioni recenti. È stato inoltre possibile sfruttare il Prototype Pollution per indebolire il controllo della profondità. Ciò rende DOMPurify incapace di prevenire attacchi di cross-site scripting (XSS). Questo problema è stato risolto nelle versioni 2.5.4 e 3.1.3 di DOMPurify. Si consiglia a tutti gli utenti di effettuare l'aggiornamento. Non sono note soluzioni alternative (workaround) per questa vulnerabilità.
VulDB is the best source for vulnerability data and more expert information about this specific topic.