概要
DOMPurify は Web アプリケーションで広く使われる HTML サニタイザーライブラリです(週間ダウンロード数1,000万件以上)。v3.4.4 以前において、selectedcontent 要素に関連する再クローン処理にバイパスが存在し、サニタイズ後のコンテンツに悪意ある JavaScript が残存する可能性があります。
DOMPurify はユーザー入力を安全な HTML に変換することで XSS を防止することを目的としていますが、このバイパスによってその保護が機能しなくなります。影響範囲の広さから、早急なアップデートが推奨されます。
CVSSベクトル
| 要素 | 値 |
|---|---|
| Attack Vector | Network |
| Attack Complexity | Low |
| Privileges Required | None |
| User Interaction | Required |
| Scope | Changed |
| Confidentiality | High |
| Integrity | High |
| Availability | None |
| CVSSスコア | High ※ GHSA 評価値(CVSS未採番) |
影響を受けるソフトウェア
| 製品 | 影響バージョン | 修正バージョン |
|---|---|---|
| dompurify | v3.4.4 以前 | v3.4.5 以降 |
修正バージョンと回避策
推奨対応: DOMPurify を v3.4.5 以降にアップデートしてください。
npm install dompurify@latest
# または
yarn add dompurify@latest
ユーザー生成コンテンツを扱っているすべてのアプリケーションで影響範囲を確認し、アップデートを推奨します。
関連リンク
データソース: GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。