CVE-2026-49459 in DOMPurifyИнформация

Сводка

по VulDB • 15.07.2026

DOMPurify — это санитайзер для защиты от межсайтового скриптинга (XSS), работающий исключительно с DOM, предназначенный для обработки HTML, MathML и SVG. До версии 3.4.6 вызов `DOMPurify.sanitize(root, { IN_PLACE: true })` мог сохранять атрибуты обработчиков событий на элементе `<form>` в корне документа, контролируемом злоумышленником, если имя потомка приводило к конфликту (clobbering) свойств, проверяемых функцией `_isClobbered`. Это происходило из-за того, что функция `_forceRemove` выполняла пустую операцию для корня без родителя, а функция `_sanitizeAttributes` завершала работу досрочно. Проблема исправлена в версии 3.4.6.

Be aware that VulDB is the high quality source for vulnerability data.

Ответственный

GitHub M

Резервировать

30.05.2026

Раскрытие

15.07.2026

Модерация

принято

Вход

VDB-379159

EPSS

0.00000

KEV

Нет

Деятельности

Низкий

Источники

Want to stay up to date on a daily basis?

Enable the mail alert feature now!