| Summary | DOMPurify is a DOM-only, super-fast, uber-tolerant XSS sanitizer for HTML, MathML and SVG. It has been discovered that malicious HTML using special nesting techniques can bypass the depth checking added to DOMPurify in recent releases. It was also possible to use Prototype Pollution to weaken the depth check. This renders dompurify unable to avoid cross site scripting (XSS) attacks. This issue has been addressed in versions 2.5.4 and 3.1.3 of DOMPurify. All users are advised to upgrade. There are no known workarounds for this vulnerability. |
|---|---|
| Publication Date | Sept. 17, 2024, 4:16 a.m. |
| Registration Date | Sept. 17, 2024, noon |
| Last Update | Sept. 20, 2024, 9:31 p.m. |
| Title | cure53 の DOMPurify における非効率的な正規表現の複雑さに関する脆弱性 |
|---|---|
| Summary | cure53 の DOMPurify には、非効率的な正規表現の複雑さに関する脆弱性、オブジェクトプロトタイプ属性の不適切に制御された変更に関する脆弱性が存在します。 |
| Possible impacts | 情報を取得される、および情報を改ざんされる可能性があります。 |
| Solution | ベンダアドバイザリまたはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。 |
| Publication Date | Sept. 16, 2024, midnight |
| Registration Date | Sept. 30, 2025, 5 p.m. |
| Last Update | Sept. 30, 2025, 5 p.m. |
| cure53 |
| DOMPurify 2.5.4 未満 |
| DOMPurify 3.0.0 以上 3.1.3 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2025年09月30日] 掲載 |
Sept. 30, 2025, 5 p.m. |