CVE-2026-41240— DOMPurify 跨站脚本漏洞
新しい脆弱性情報の通知を購読するログインして購読
I. CVE-2026-41240の基本情報
脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗ 高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。
脆弱性タイトル
DOMPurify: FORBID_TAGS bypassed by function-based ADD_TAGS predicate (asymmetry with FORBID_ATTR fix)
ソース: NVD (National Vulnerability Database)
脆弱性説明
DOMPurify is a DOM-only cross-site scripting sanitizer for HTML, MathML, and SVG. Versions prior to 3.4.0 have an inconsistency between FORBID_TAGS and FORBID_ATTR handling when function-based ADD_TAGS is used. Commit c361baa added an early exit for FORBID_ATTR at line 1214. The same fix was not applied to FORBID_TAGS. At line 1118-1123, when EXTRA_ELEMENT_HANDLING.tagCheck returns true, the short-circuit evaluation skips the FORBID_TAGS check entirely. This allows forbidden elements to survive sanitization with their attributes intact. Version 3.4.0 patches the issue.
ソース: NVD (National Vulnerability Database)
CVSS情報
N/A
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
宽松定义的白名单
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
DOMPurify 跨站脚本漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
DOMPurify是Cure53个人开发者的一款使用JavaScript编写的,用于HTML、MathML和SVG的DOM(文档对象模型)。 DOMPurify 3.4.0之前版本存在跨站脚本漏洞,该漏洞源于FORBID_TAGS和FORBID_ATTR处理不一致,导致禁止元素及其属性通过清理。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)
影響を受ける製品
II. CVE-2026-41240の公開POC
| # | POC説明 | ソースリンク | Shenlongリンク |
|---|
AI生成POCプレミアム
公開POCは見つかりませんでした。
ログインしてAI POCを生成III. CVE-2026-41240のインテリジェンス情報
请登录查看更多情报信息。
- Release DOMPurify 3.4.0 · cure53/DOMPurify · GitHubx_refsource_MISC
- https://nvd.nist.gov/vuln/detail/CVE-2026-41240
Same Patch Batch · cure53 · 2026-04-23 · 3 CVEs total
| CVE-2026-41238 | 6.9 MEDIUM | DOMPurify: Prototype Pollution to XSS Bypass via CUSTOM_ELEMENT_HANDLING Fallback |
| CVE-2026-41239 | 6.8 MEDIUM | DOMPurify has a SAFE_FOR_TEMPLATES bypass in RETURN_DOM mode |
IV. 関連脆弱性
同じ製品: DOMPurify
- CVE-2026-41239
DOMPurify has a SAFE_FOR_TEMPLATES bypass in RETURN_DOM mode - CVE-2026-41238
DOMPurify: Prototype Pollution to XSS Bypass via CUSTOM_ELEM - CVE-2026-0540
DOMPurify XSS via Missing Rawtext Elements in SAFE_FOR_XML - CVE-2025-15599
DOMPurify XSS via Textarea Rawtext Bypass in SAFE_FOR_XML - CVE-2025-48050
DOMPurify 安全漏洞
同じベンダー: cure53
- CVE-2026-41239
DOMPurify has a SAFE_FOR_TEMPLATES bypass in RETURN_DOM mode - CVE-2026-41238
DOMPurify: Prototype Pollution to XSS Bypass via CUSTOM_ELEM - CVE-2026-0540
DOMPurify XSS via Missing Rawtext Elements in SAFE_FOR_XML - CVE-2025-15599
DOMPurify XSS via Textarea Rawtext Bypass in SAFE_FOR_XML - CVE-2025-48050
DOMPurify 安全漏洞
同じ弱点: CWE-183
- CVE-2026-44111
OpenClaw < 2026.4.15 - Arbitrary Markdown File Read via QMD - CVE-2026-43574
OpenClaw < 2026.4.12 - Improper Authorization via Empty Appr - CVE-2026-29514
NetBox 4.3.5 - 4.5.4 RCE via RenderTemplateMixin - CVE-2026-41387
OpenClaw < 2026.3.22 - Supply Chain Redirection via Incomple - CVE-2026-42042
Axios: XSRF Token Cross-Origin Leakage via Prototype Polluti
V. CVE-2026-41240へのコメント
まだコメントはありません