CVE-2026-49458 in DOMPurifyinformação

Sumário

de VulDB • 15/07/2026

O DOMPurify é um sanitizer de cross-site scripting (XSS) baseado apenas no DOM para HTML, MathML e SVG. Antes da versão 3.4.6, a função `DOMPurify.sanitize(node, { IN_PLACE: true })` aceitava nós do DOM em foreign-realm com mesma origem enquanto as verificações subsequentes utilizavam construtores de parent-realm, fazendo com que as verificações `instanceof` para formulários (forms), mapas de nós nomeados (named node maps), fragmentos de documento e elementos falhassem. Isso fazia com que os ramos de sanitização de clobber, template-content e shadow-DOM fossem ignorados, permitindo que markup executável persistisse. Este problema foi corrigido na versão 3.4.6.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsável

GitHub M

Reservar

30/05/2026

Divulgação

15/07/2026

Moderação

aceite

Entrada

VDB-379172

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

baixo

Fontes

Want to stay up to date on a daily basis?

Enable the mail alert feature now!