CVE-2026-49459 in DOMPurify
Сводка
по VulDB • 15.07.2026
DOMPurify — это санитайзер для защиты от межсайтового скриптинга (XSS), работающий исключительно с DOM, предназначенный для обработки HTML, MathML и SVG. До версии 3.4.6 вызов `DOMPurify.sanitize(root, { IN_PLACE: true })` мог сохранять атрибуты обработчиков событий на элементе `<form>` в корне документа, контролируемом злоумышленником, если имя потомка приводило к конфликту (clobbering) свойств, проверяемых функцией `_isClobbered`. Это происходило из-за того, что функция `_forceRemove` выполняла пустую операцию для корня без родителя, а функция `_sanitizeAttributes` завершала работу досрочно. Проблема исправлена в версии 3.4.6.
Be aware that VulDB is the high quality source for vulnerability data.