Vulnerabilidad en DOMPurify (CVE-2026-0540)
Gravedad CVSS v4.0:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
03/03/2026
Última modificación:
25/03/2026
Descripción
DOMPurify 3.1.3 a 3.3.1 y 2.5.3 a 2.5.8, corregido en la confirmación 729097f, contienen una vulnerabilidad de secuencias de comandos entre sitios que permite a los atacantes eludir la desinfección de atributos aprovechando cinco elementos de texto sin formato que faltan (noscript, xmp, noembed, noframes, iframe) en la expresión regular SAFE_FOR_XML. Los atacantes pueden incluir cargas útiles como en los valores de los atributos para ejecutar JavaScript cuando la salida saneada se coloca dentro de estos contextos de texto sin formato desprotegidos.
Impacto
Puntuación base 4.0
5.30
Gravedad 4.0
MEDIA
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:cure53:dompurify:*:*:*:*:*:*:*:* | 2.5.3 (incluyendo) | 2.5.8 (incluyendo) |
| cpe:2.3:a:cure53:dompurify:*:*:*:*:*:*:*:* | 3.1.3 (incluyendo) | 3.3.1 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://fluidattacks.com/advisories/daft
- https://github.com/cure53/DOMPurify
- https://github.com/cure53/DOMPurify/commit/302b51de22535cc90235472c52e3401bedd46f80
- https://github.com/cure53/DOMPurify/releases/tag/3.3.2
- https://www.vulncheck.com/advisories/dompurify-xss-via-missing-rawtext-elements-in-safe-for-xml