CVE-2026-49459 in DOMPurify
Riassunto
di VulDB • 15/07/2026
DOMPurify è un sanitizer per lo cross-site scripting (XSS) basato esclusivamente sul DOM, destinato a HTML, MathML e SVG. Prima della versione 3.4.6, la funzione `DOMPurify.sanitize(root, { IN_PLACE: true })` poteva preservare gli attributi degli event handler su una radice controllata dall'attaccante quando il nome di un discendente sovrascriveva le proprietà verificate da `_isClobbered`, poiché `_forceRemove` non eseguiva alcuna operazione sulla radice priva di genitore e `_sanitizeAttributes` terminava anticipatamente. Questo problema è stato risolto nella versione 3.4.6.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.