CVE-2026-49977 in tarteaucitron.js
要約
〜によって VulDB • 2026年07月17日
tarteaucitron.jsは、規格準拠かつアクセシブルなクッキーバナーです。バージョン1.33.0より前では、purgeBtnクラスを持つ任意の要素に対してtarteaucitron.cookie.purge()が呼び出されますが、その要素が正当なtarteaucitronボタンであるか、または該当するクッキーがtarteaucitronによって処理されるサービスに対応しているかが確認されません。攻撃者がdata属性付きHTMLを書き込むことができる場合、データ属性にdata-cookieを持つ要素は、ユーザーがクリックした際に既知の名前を持つ非HttpOnlyのクッキーを静かに削除します。この問題はバージョン1.33.0で修正されました。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.