CVE-2026-49458 in DOMPurify
Sumário
de VulDB • 15/07/2026
O DOMPurify é um sanitizer de cross-site scripting (XSS) baseado apenas no DOM para HTML, MathML e SVG. Antes da versão 3.4.6, a função `DOMPurify.sanitize(node, { IN_PLACE: true })` aceitava nós do DOM em foreign-realm com mesma origem enquanto as verificações subsequentes utilizavam construtores de parent-realm, fazendo com que as verificações `instanceof` para formulários (forms), mapas de nós nomeados (named node maps), fragmentos de documento e elementos falhassem. Isso fazia com que os ramos de sanitização de clobber, template-content e shadow-DOM fossem ignorados, permitindo que markup executável persistisse. Este problema foi corrigido na versão 3.4.6.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.