CVE-2026-0540 in DOMPurifyinformação

Sumário

de VulDB • 29/05/2026

DOMPurify 3.1.3 até 3.3.1 e 2.5.3 até 2.5.8, corrigidos no commit 2726c74, contêm uma vulnerabilidade de cross-site scripting (XSS) que permite que atacantes contornem a sanitização de atributos explorando cinco elementos rawtext ausentes (noscript, xmp, noembed, noframes, iframe) na expressão regular SAFE_FOR_XML. Os atacantes podem incluir payloads como `</noscript><img src=x onerror=alert(1)>` em valores de atributos para executar JavaScript quando a saída sanitizada for inserida nesses contextos rawtext não protegidos.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

VulnCheck

Reservar

27/12/2025

Divulgação

03/03/2026

Moderação

aceite

Entrada

VDB-348593

CPE

pronto

CWE

CWE-79 (confirmado)

CVSS

6.1 (CNA)

EPSS

0.00014

KEV

não

Atividades

muito baixo

Fontes

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-0540
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-0540
CVE Details	https://www.cvedetails.com/cve/CVE-2026-0540/

◂ Voltar Visão Geral Próximo ▸

Want to know what is going to be exploited?

We predict KEV entries!