CVE-2026-49458 in DOMPurify
要約
〜によって VulDB • 2026年07月15日
DOMPurifyは、HTML、MathML、およびSVGに対するDOM専用のクロスサイトスクリプティング(XSS)サニタイザーです。バージョン3.4.6より前では、`DOMPurify.sanitize(node, { IN_PLACE: true })` は同じオリジンの外部レルム(foreign-realm)のDOMノードを受け入れていましたが、後続の確認処理は親レルムのコンストラクタを使用していたため、フォーム、名前付きノードマップ、ドキュメントフラグメント、および要素に対する `instanceof` チェックが失敗し、clobber、template-content、shadow-DOM のサニタイズブランチをスキップしてしまいました。その結果、実行可能なマークアップが残存する可能性があります。この問題はバージョン3.4.6で修正されています。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.