CVE-2026-49458 in DOMPurify情報

要約

〜によって VulDB • 2026年07月15日

DOMPurifyは、HTML、MathML、およびSVGに対するDOM専用のクロスサイトスクリプティング(XSS)サニタイザーです。バージョン3.4.6より前では、`DOMPurify.sanitize(node, { IN_PLACE: true })` は同じオリジンの外部レルム(foreign-realm)のDOMノードを受け入れていましたが、後続の確認処理は親レルムのコンストラクタを使用していたため、フォーム、名前付きノードマップ、ドキュメントフラグメント、および要素に対する `instanceof` チェックが失敗し、clobber、template-content、shadow-DOM のサニタイズブランチをスキップしてしまいました。その結果、実行可能なマークアップが残存する可能性があります。この問題はバージョン3.4.6で修正されています。

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

責任者

GitHub M

予約する

2026年05月30日

モデレーション

承諾済み

エントリ

VDB-379172

EPSS

0.00000

アクティビティ

低い

ソース

Interested in the pricing of exploits?

See the underground prices here!