CVE-2026-49459 in DOMPurifyinformazioni

Riassunto

di VulDB • 15/07/2026

DOMPurify è un sanitizer per lo cross-site scripting (XSS) basato esclusivamente sul DOM, destinato a HTML, MathML e SVG. Prima della versione 3.4.6, la funzione `DOMPurify.sanitize(root, { IN_PLACE: true })` poteva preservare gli attributi degli event handler su una radice controllata dall'attaccante quando il nome di un discendente sovrascriveva le proprietà verificate da `_isClobbered`, poiché `_forceRemove` non eseguiva alcuna operazione sulla radice priva di genitore e `_sanitizeAttributes` terminava anticipatamente. Questo problema è stato risolto nella versione 3.4.6.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsabile

GitHub M

Prenotare

30/05/2026

Divulgazione

15/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

basso

Fonti

Interested in the pricing of exploits?

See the underground prices here!