CVE-2026-49458 in DOMPurifyИнформация

Сводка

по VulDB • 16.07.2026

DOMPurify — это DOM-only sanitizer для кросс-сайтового скриптинга (XSS), предназначенный для HTML, MathML и SVG. Версии до 3.4.6 включительно принимали в функцию `DOMPurify.sanitize(node, { IN_PLACE: true })` узлы DOM из чужих realm'ов с тем же origin, тогда как последующие проверки использовали конструкторы родительского realm'a. Это приводило к сбоям проверок `instanceof` для форм, именованных карт узлов (named node maps), фрагментов документа и элементов, в результате чего пропускались ветви санитизации clobber, template-content и shadow-DOM, что позволяло исполняемому разметочному коду сохраняться. Проблема исправлена в версии 3.4.6.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Ответственный

GitHub M

Резервировать

30.05.2026

Раскрытие

15.07.2026

Модерация

принято

Вход

VDB-379172

EPSS

0.00000

KEV

Нет

Деятельности

Низкий

Источники

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!