CVE-2024-45801— DOMPurify 安全漏洞
新しい脆弱性情報の通知を購読するログインして購読
I. CVE-2024-45801の基本情報
脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗ 高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。
脆弱性タイトル
Tampering by prototype polution in DOMPurify
ソース: NVD (National Vulnerability Database)
脆弱性説明
DOMPurify is a DOM-only, super-fast, uber-tolerant XSS sanitizer for HTML, MathML and SVG. It has been discovered that malicious HTML using special nesting techniques can bypass the depth checking added to DOMPurify in recent releases. It was also possible to use Prototype Pollution to weaken the depth check. This renders dompurify unable to avoid cross site scripting (XSS) attacks. This issue has been addressed in versions 2.5.4 and 3.1.3 of DOMPurify. All users are advised to upgrade. There are no known workarounds for this vulnerability.
ソース: NVD (National Vulnerability Database)
CVSS情報
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
CWE-1333
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
DOMPurify 安全漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
DOMPurify是Cure53个人开发者的一款使用JavaScript编写的,用于HTML、MathML和SVG的DOM(文档对象模型)。 DOMPurify 2.5.4之前版本和3.1.3之前版本存在安全漏洞,该漏洞源于恶意HTML使用特殊嵌套技术绕过DOMPurify近期版本中添加的深度检查。同时,也可以通过原型污染来削弱深度检查,导致容易受到跨站脚本攻击。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)
影響を受ける製品
II. CVE-2024-45801の公開POC
| # | POC説明 | ソースリンク | Shenlongリンク |
|---|
AI生成POCプレミアム
公開POCは見つかりませんでした。
ログインしてAI POCを生成III. CVE-2024-45801のインテリジェンス情報
请登录查看更多情报信息。
IV. 関連脆弱性
同じ製品: DOMPurify
- CVE-2026-41240
DOMPurify: FORBID_TAGS bypassed by function-based ADD_TAGS p - CVE-2026-41239
DOMPurify has a SAFE_FOR_TEMPLATES bypass in RETURN_DOM mode - CVE-2026-41238
DOMPurify: Prototype Pollution to XSS Bypass via CUSTOM_ELEM - CVE-2026-0540
DOMPurify XSS via Missing Rawtext Elements in SAFE_FOR_XML - CVE-2025-15599
DOMPurify XSS via Textarea Rawtext Bypass in SAFE_FOR_XML
同じベンダー: cure53
- CVE-2026-41240
DOMPurify: FORBID_TAGS bypassed by function-based ADD_TAGS p - CVE-2026-41239
DOMPurify has a SAFE_FOR_TEMPLATES bypass in RETURN_DOM mode - CVE-2026-41238
DOMPurify: Prototype Pollution to XSS Bypass via CUSTOM_ELEM - CVE-2026-0540
DOMPurify XSS via Missing Rawtext Elements in SAFE_FOR_XML - CVE-2025-15599
DOMPurify XSS via Textarea Rawtext Bypass in SAFE_FOR_XML
同じ弱点: CWE-1333
- CVE-2026-33079
Mistune ReDoS in LINK_TITLE_RE allows denial of service with - CVE-2026-41040
GROWI 安全漏洞 - CVE-2026-40319
Giskard has a Regular Expression Denial of Service (ReDoS) i - CVE-2026-5986
Zod jsVideoUrlParser util.js getTime redos - CVE-2026-35041
ReDoS in fast-jwt when using RegExp in allowed* leading to C
V. CVE-2024-45801へのコメント
まだコメントはありません