CVE-2026-41239— DOMPurify 跨站脚本漏洞

DOMPurify has a SAFE_FOR_TEMPLATES bypass in RETURN_DOM mode

DOMPurify is a DOM-only cross-site scripting sanitizer for HTML, MathML, and SVG. Starting in version 1.0.10 and prior to version 3.4.0, `SAFE_FOR_TEMPLATES` strips `{{...}}` expressions from untrusted HTML. This works in string mode but not with `RETURN_DOM` or `RETURN_DOM_FRAGMENT`, allowing XSS via template-evaluating frameworks like Vue 2. Version 3.4.0 patches the issue.

CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:N

在Web页面生成时对输入的转义处理不恰当(跨站脚本)

DOMPurify 跨站脚本漏洞

DOMPurify是Cure53个人开发者的一款使用JavaScript编写的，用于HTML、MathML和SVG的DOM（文档对象模型）。 DOMPurify 1.0.10版本至3.4.0之前版本存在跨站脚本漏洞，该漏洞源于SAFE_FOR_TEMPLATES在RETURN_DOM或RETURN_DOM_FRAGMENT模式下无法正确清理模板表达式，导致XSS攻击。

N/A

N/A