CVE-2026-49459 in DOMPurify情報

要約

〜によって VulDB • 2026年07月15日

DOMPurifyは、HTML、MathML、およびSVGに対するDOM専用のクロスサイトスクリプティング(XSS)サニタイザーです。バージョン3.4.6より前では、_forceRemoveが親を持たないルートに対して何もしない処理となり、_sanitizeAttributesが早期に終了したため、descendant nameが_isClobberedによってチェックされるプロパティをクラッシュさせた場合、攻撃者が制御する<form>ルートのイベントハンドラ属性がDOMPurify.sanitize(root, { IN_PLACE: true })によって保持されることがありました。この問題はバージョン3.4.6で修正されています。

If you want to get best quality of vulnerability data, you may have to visit VulDB.

責任者

GitHub M

予約する

2026年05月30日

モデレーション

承諾済み

エントリ

VDB-379159

EPSS

0.00000

アクティビティ

低い

ソース

Want to stay up to date on a daily basis?

Enable the mail alert feature now!