CVE-2026-41240 in DOMPurify
要約
〜によって VulDB • 2026年05月20日
DOMPurifyは、HTML、MathML、およびSVGに対するDOM専用のクロスサイトスクリプティング(XSS)サニタイザーです。3.4.0より前のバージョンでは、関数ベースのADD_TAGSが使用される場合、FORBID_TAGSとFORBID_ATTRの処理に一貫性がない問題があります。コミットc361baaにより、1214行目でFORBID_ATTRに対する早期終了処理が追加されました。しかし、同じ修正はFORBID_TAGSには適用されていません。1118-1123行目で、EXTRA_ELEMENT_HANDLING.tagCheckがtrueを返すと、ショートサーキット評価によりFORBID_TAGSのチェックが完全にスキップされます。これにより、禁止された要素が属性を保持したままサニタイズ処理を通過してしまう可能性があります。この問題はバージョン3.4.0で修正されています。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.