| 概要 | DOMPurify is a DOM-only, super-fast, uber-tolerant XSS sanitizer for HTML, MathML and SVG. It has been discovered that malicious HTML using special nesting techniques can bypass the depth checking added to DOMPurify in recent releases. It was also possible to use Prototype Pollution to weaken the depth check. This renders dompurify unable to avoid cross site scripting (XSS) attacks. This issue has been addressed in versions 2.5.4 and 3.1.3 of DOMPurify. All users are advised to upgrade. There are no known workarounds for this vulnerability. |
|---|---|
| 公表日 | 2024年9月17日4:16 |
| 登録日 | 2024年9月17日12:00 |
| 最終更新日 | 2024年9月20日21:31 |
| タイトル | cure53 の DOMPurify における非効率的な正規表現の複雑さに関する脆弱性 |
|---|---|
| 概要 | cure53 の DOMPurify には、非効率的な正規表現の複雑さに関する脆弱性、オブジェクトプロトタイプ属性の不適切に制御された変更に関する脆弱性が存在します。 |
| 想定される影響 | 情報を取得される、および情報を改ざんされる可能性があります。 |
| 対策 | ベンダアドバイザリまたはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。 |
| 公表日 | 2024年9月16日0:00 |
| 登録日 | 2025年9月30日17:00 |
| 最終更新日 | 2025年9月30日17:00 |
| cure53 |
| DOMPurify 2.5.4 未満 |
| DOMPurify 3.0.0 以上 3.1.3 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2025年09月30日] 掲載 |
2025年9月30日17:00 |