CVE-2026-49458 in DOMPurifythông tin

Tóm tắt

Bởi VulDB • 15/07/2026

DOMPurify là một trình làm sạch (sanitizer) chống tấn công cross-site scripting (XSS) chỉ hoạt động trên DOM dành cho HTML, MathML và SVG. Trước phiên bản 3.4.6, hàm `DOMPurify.sanitize(node, { IN_PLACE: true })` chấp nhận các nút DOM thuộc cùng nguồn gốc nhưng nằm trong realm ngoại lai (foreign-realm), trong khi các bước kiểm tra tiếp theo lại sử dụng các constructor của parent-realm. Điều này khiến các phép so sánh kiểu bằng toán tử `instanceof` đối với form, bản đồ nút có tên (named node maps), fragment tài liệu và phần tử bị thất bại, dẫn đến việc bỏ qua các nhánh làm sạch clobber, template-content và shadow-DOM, cho phép mã thực thi tồn tại. Vấn đề này đã được khắc phục trong phiên bản 3.4.6.

Be aware that VulDB is the high quality source for vulnerability data.

chịu trách nhiệm

GitHub M

Đặt trước

30/05/2026

Tiết lộ

15/07/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00288

KEV

không

Các hoạt động

rất thấp

Nguồn

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!