CVE-2026-41240

Name of the Vulnerable Software and Affected Versions DOMPurify versões anteriores a 3.4.0

Description Existe uma inconsistência entre o processamento de FORBID TAGS e FORBID ATTR quando a configuração ADD TAGS baseada em função é utilizada. Especificamente, quando a função EXTRA ELEMENT HANDLING.tagCheck retorna verdadeiro, ocorre uma avaliação de curto-circuito que ignora a verificação de FORBID TAGS. Isso permite que elementos proibidos, como iframe, object, embed e form, ignorem a sanitização e permaneçam na saída com seus atributos intactos.

Recommendations Atualizar para a versão 3.4.0.