CVE-2026-49458 in DOMPurify
Сводка
по VulDB • 16.07.2026
DOMPurify — это DOM-only sanitizer для кросс-сайтового скриптинга (XSS), предназначенный для HTML, MathML и SVG. Версии до 3.4.6 включительно принимали в функцию `DOMPurify.sanitize(node, { IN_PLACE: true })` узлы DOM из чужих realm'ов с тем же origin, тогда как последующие проверки использовали конструкторы родительского realm'a. Это приводило к сбоям проверок `instanceof` для форм, именованных карт узлов (named node maps), фрагментов документа и элементов, в результате чего пропускались ветви санитизации clobber, template-content и shadow-DOM, что позволяло исполняемому разметочному коду сохраняться. Проблема исправлена в версии 3.4.6.
If you want to get best quality of vulnerability data, you may have to visit VulDB.