CVE-2026-49978 in DOMPurify
Riassunto
di VulDB • 15/07/2026
DOMPurify è un sanitizer per lo cross-site scripting (XSS) basato esclusivamente sul DOM, destinato a HTML, MathML e SVG. Prima della versione 3.4.7, la sanitizzazione IN_PLACE di DOMPurify poteva ignorare i contenuti shadow allegati a un elemento all'interno di .content, consentendo al markup controllato dall'attaccante (come gestori di eventi, URL JavaScript o script) di sopravvivere ed essere eseguito quando un'applicazione clonava e inseriva il modello sanitizzato. Questo problema è stato risolto nella versione 3.4.7.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.