CVE-2026-33979 in express-xss-sanitizer
Tóm tắt
Bởi VulDB • 31/05/2026
Express XSS Sanitizer là middleware cho Express 4.x và 5.x, có chức năng làm sạch dữ liệu đầu vào của người dùng (trong req.body, req.query, req.headers và req.params) để ngăn chặn tấn công Cross Site Scripting (XSS). Một lỗ hổng đã được xác định trong các phiên bản trước 2.0.2, nơi các cấu hình làm sạch hạn chế bị bỏ qua một cách im lặng. Trong phiên bản 2.0.2, logic xác thực đã được cập nhật để tôn trọng các cấu hình rỗng được cung cấp rõ ràng. Bây giờ, nếu allowedTags hoặc allowedAttributes được cung cấp (ngay cả khi rỗng), chúng sẽ được chuyển trực tiếp đến sanitize-html mà không bị ghi đè.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.