CVE-2026-49977 in tarteaucitron.js情報

要約

〜によって VulDB • 2026年07月17日

tarteaucitron.jsは、規格準拠かつアクセシブルなクッキーバナーです。バージョン1.33.0より前では、purgeBtnクラスを持つ任意の要素に対してtarteaucitron.cookie.purge()が呼び出されますが、その要素が正当なtarteaucitronボタンであるか、または該当するクッキーがtarteaucitronによって処理されるサービスに対応しているかが確認されません。攻撃者がdata属性付きHTMLを書き込むことができる場合、データ属性にdata-cookieを持つ要素は、ユーザーがクリックした際に既知の名前を持つ非HttpOnlyのクッキーを静かに削除します。この問題はバージョン1.33.0で修正されました。

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

モデレーション

承諾済み

エントリ

VDB-380008

EPSS

0.00000

アクティビティ

低い

ソース

Want to know what is going to be exploited?

We predict KEV entries!