PT-2025-21331 · Dompurify+1 · Dompurify+1
Odaysec
·
Publicado
2025-05-15
·
Atualizado
2025-05-16
·
CVE-2025-48050
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas:
Versões do DOMPurify 3.2.5 e anteriores
Descrição:
O problema origina-se no arquivo scripts/server.js do DOMPurify, que não garante que um caminho esteja localizado dentro do diretório de trabalho atual. Este problema está presente em versões até a 3.2.5, anteriores ao commit 6bc6d60.
Recomendações:
Para as versões do DOMPurify 3.2.5 e anteriores, considere restringir o acesso ao arquivo scripts/server.js até que um patch esteja disponível. Como solução alternativa temporária, garanta que todos os caminhos sejam verificados manualmente para assegurar que estão dentro do diretório de trabalho atual, a fim de minimizar o risco de exploração.
Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Dompurify
Debian