CVE-2026-0540

Nome do Software Vulnerável e Versões Afetadas DOMPurify versões 2.5.3 a 2.5.8 DOMPurify versões 3.1.3 a 3.3.1

Descrição DOMPurify contém uma vulnerabilidade de cross-site scripting que permite que atacantes contornem a sanitização de atributos. Este contorno é obtido explorando elementos rawtext ausentes (noscript, xmp, noembed, noframes, iframe) dentro da expressão regular SAFE FOR XML. Atacantes podem injetar payloads, como , em valores de atributos. Quando a saída sanitizada é inserida nesses contextos rawtext não protegidos, o payload JavaScript pode ser executado.

Recomendações Atualize para uma versão do DOMPurify que inclua o commit 729097f.