GHSA-p3vf-v8qc-cwcr

Опубликовано: 31 окт. 2024

Источник: github

Github: Прошло ревью

CVSS4: 9.3

CVSS3: 9.1

Описание

DOMPurify vulnerable to tampering by prototype polution

dompurify was vulnerable to prototype pollution

Fixed by https://github.com/cure53/DOMPurify/commit/d1dd0374caef2b4c56c3bd09fe1988c3479166dc

Ссылки

Пакеты

Наименование

dompurify

npm

Затронутые версииВерсия исправления

< 2.4.2

2.4.2

EPSS

Процентиль: 84%

0.02086

Низкий

9.3 Critical

CVSS4

9.1 Critical

CVSS3

CVE ID

CVE-2024-48910

Дефекты

CWE-1321

Связанные уязвимости

CVE-2024-48910

CVSS3: 9.1

ubuntu

около 1 года назад

DOMPurify is a DOM-only, super-fast, uber-tolerant XSS sanitizer for HTML, MathML and SVG. DOMPurify was vulnerable to prototype pollution. This vulnerability is fixed in 2.4.2.

CVE-2024-48910

CVSS3: 8.2

redhat

около 1 года назад

DOMPurify is a DOM-only, super-fast, uber-tolerant XSS sanitizer for HTML, MathML and SVG. DOMPurify was vulnerable to prototype pollution. This vulnerability is fixed in 2.4.2.

CVE-2024-48910

CVSS3: 9.1

nvd

около 1 года назад

DOMPurify is a DOM-only, super-fast, uber-tolerant XSS sanitizer for HTML, MathML and SVG. DOMPurify was vulnerable to prototype pollution. This vulnerability is fixed in 2.4.2.

CVE-2024-48910

CVSS3: 9.1

debian

около 1 года назад

DOMPurify is a DOM-only, super-fast, uber-tolerant XSS sanitizer for H ...

BDU:2024-09092

CVSS3: 9.1

fstec

около 3 лет назад

Уязвимость JavaScript-библиотеки для безопасной очистки и защиты HTML-кода DOMPurify, связанная с неконтролируемым изменением атрибутов прототипа объекта, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации

EPSS

Процентиль: 84%

0.02086

Низкий

9.3 Critical

CVSS4

9.1 Critical

CVSS3

CVE ID

CVE-2024-48910

Дефекты

CWE-1321