CRITICAL🇬🇧 English

CVE-2024-48910

Prototype pollution w bibliotece DOMPurify umożliwiający XSS

CVSS 9.1v3.1pub. 2024-10-31upd. 2025-11-03

Biblioteka DOMPurify, służąca do sanityzacji HTML, MathML i SVG, była podatna na atak typu prototype pollution (CWE-1321). Podatność o ocenie CVSS 9.1 może pozwolić atakującemu na zdalne manipulowanie obiektami JavaScript i obejście mechanizmów ochrony przed XSS.

Pokaż oryginał (EN)

DOMPurify is a DOM-only, super-fast, uber-tolerant XSS sanitizer for HTML, MathML and SVG. DOMPurify was vulnerable to prototype pollution. This vulnerability is fixed in 2.4.2.

🤖 Analiza AI
Jak działa

Prototype pollution polega na możliwości modyfikowania prototypu bazowego obiektu JavaScript (Object.prototype) przez nieautoryzowane dane wejściowe. W przypadku DOMPurify atakujący mógł dostarczyć spreparowany payload, który podczas procesu sanityzacji powodował zanieczyszczenie prototypu. Skutkowało to możliwością wpływania na zachowanie wszystkich obiektów w aplikacji korzystającej z biblioteki, co w efekcie mogło prowadzić do obejścia ochrony przed XSS.

Skutki

Atakujący może zmodyfikować właściwości globalnych obiektów JavaScript w aplikacji, co prowadzi do naruszenia integralności i poufności danych — w tym potencjalnego wykonania złośliwych skryptów (XSS) w kontekście przeglądarki ofiary.

Mitygacja

Należy zaktualizować DOMPurify do wersji 2.4.2 lub nowszej, w której podatność została naprawiona. Patch dostępny jest w repozytorium projektu na GitHub.

Kogo dotyczy

Biblioteka Cure53 DOMPurify w wersjach wcześniejszych niż 2.4.2

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
  • Cure53 Dompurify

    APP
    Cure53
    < 2.4.2
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
XSS
CWE
Referencje

Powiązane podatności

CVE-2024-47875CRITICAL10.0PL ✓ten sam produkt

DOMPurify — podatność mXSS oparta na zagnieżdżaniu znaczników

CVE-2024-45801HIGH7.3ten sam produkt

DOMPurify is a DOM-only, super-fast, uber-tolerant XSS sanitizer for HTML, MathML and SVG. It has been discove...

CVE-2026-41240MEDIUM6.0ten sam produkt

DOMPurify is a DOM-only cross-site scripting sanitizer for HTML, MathML, and SVG. Versions prior to 3.4.0 have...

CVE-2025-15599MEDIUM5.1ten sam produkt

DOMPurify 3.1.3 through 3.2.6 and 2.5.3 through 2.5.8 contain a cross-site scripting vulnerability that allows...

CVE-2026-0540MEDIUM5.3ten sam produkt

DOMPurify 3.1.3 through 3.3.1 and 2.5.3 through 2.5.8, fixed in commit 2726c74, contain a cross-site scripting...