CVE-2026-49459 in DOMPurify
要約
〜によって VulDB • 2026年07月15日
DOMPurifyは、HTML、MathML、およびSVGに対するDOM専用のクロスサイトスクリプティング(XSS)サニタイザーです。バージョン3.4.6より前では、_forceRemoveが親を持たないルートに対して何もしない処理となり、_sanitizeAttributesが早期に終了したため、descendant nameが_isClobberedによってチェックされるプロパティをクラッシュさせた場合、攻撃者が制御する<form>ルートのイベントハンドラ属性がDOMPurify.sanitize(root, { IN_PLACE: true })によって保持されることがありました。この問題はバージョン3.4.6で修正されています。
If you want to get best quality of vulnerability data, you may have to visit VulDB.