CRITICALCVE-2024-47875CVSS 10

DOMpurify にはネストベースの mXSS が存在します

Q: CVE-2024-47875 — mXSS in DOMpurifyとは何ですか？

CVE-2024-47875は、DOMpurifyにおけるネスト構造に基づいたmXSS脆弱性です。攻撃者はこの脆弱性を悪用して、ユーザーのブラウザで任意のコードを実行できます。

Q: CVE-2024-47875 in DOMpurifyの影響はありますか？

はい、DOMpurify 2.xのバージョン2.5.0より前のバージョンを使用している場合は、影響を受けます。攻撃者は悪意のあるスクリプトを注入し、ユーザーのブラウザで実行させることが可能です。

Q: CVE-2024-47875 in DOMpurifyを修正するにはどうすればよいですか？

DOMpurifyをバージョン2.5.0以降にアップデートしてください。アップデートが困難な場合は、一時的な回避策として、DOMpurifyの構成を強化することを検討してください。

Q: CVE-2024-47875は積極的に悪用されていますか？

CVSSスコアがCRITICALであるため、攻撃の可能性は高いと考えられます。PoCコードも公開されているため、注意が必要です。

Q: CVE-2024-47875に関するDOMpurifyの公式アドバイザリはどこで入手できますか？

DOMpurifyのGitHubリポジトリ（https://github.com/cure53/DOMPurify）で関連情報を確認してください。

プラットフォーム

nodejs

コンポーネント

dompurify

修正版

2.5.1

3.1.4

2.5.0

AI Confidence: highNVDEPSS 0.7%レビュー済み: 2026年5月

NVDで見る

保存

DOMpurifyは、HTMLコンテンツをサニタイズするためのJavaScriptライブラリです。CVE-2024-47875は、DOMpurifyにおけるネスト構造の処理に関する脆弱性であり、攻撃者はこの脆弱性を悪用してクロスサイトスクリプティング（mXSS）攻撃を実行できます。この脆弱性はDOMpurify 2.xのバージョン2.5.0で修正されており、影響を受けるバージョンを使用している場合は、速やかにアップデートすることを推奨します。

影響と攻撃シナリオ

このmXSS脆弱性は、攻撃者が悪意のあるJavaScriptコードをDOMpurifyによってサニタイズされないHTMLコンテンツに注入することを可能にします。これにより、攻撃者はユーザーのブラウザで任意のコードを実行し、セッションCookieの窃取、ユーザーのなりすまし、またはウェブサイトの改ざんといった攻撃を実行できます。特に、DOMpurifyがユーザー提供のHTMLコンテンツをサニタイズするために使用されている場合、この脆弱性の影響は甚大です。類似の脆弱性は、ウェブアプリケーションのセキュリティを著しく低下させる可能性があります。

悪用の状況

この脆弱性は、GitHubのDOMpurifyリポジトリで公開されており、PoC（Proof of Concept）コードも提供されています。CVE-2024-45801との関連性も指摘されており、バックポーターは注意が必要です。CISA KEVへの登録状況は不明ですが、CVSSスコアがCRITICALであるため、攻撃の可能性は高いと考えられます。

リスク対象者翻訳中…

Applications and websites that rely on DOMpurify to sanitize user-supplied HTML input are at risk. This includes content management systems (CMS), forums, online editors, and any other web application that allows users to submit HTML content. Specifically, applications using older versions of DOMpurify or those that haven't implemented robust input validation practices are particularly vulnerable.

検出手順翻訳中…

• nodejs / server:

  npm list dompurify

Check the installed version of DOMpurify. If it's less than 2.5.0, the system is vulnerable. • generic web: Inspect the DOMPurify JavaScript file for the fix (commit hash 0ef5e537). If the file doesn't contain this commit, the system is vulnerable. • generic web: Review application logs for any unusual JavaScript execution patterns or errors related to DOMPurify.

攻撃タイムライン

2024-10-11Disclosure
disclosure
2024-10-11PoC
poc

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.70% (72% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントdompurify

ベンダーosv

影響範囲修正版

< 2.5.0 – < 2.5.02.5.1

< 3.1.3 – < 3.1.33.1.4

—2.5.0

弱点分類 (CWE)

CWE-79

タイムライン

予約済み2024-10-04
公開日2024-10-11
更新日2026-02-04
EPSS 更新日2026-04-02

緩和策と回避策

この脆弱性への最も効果的な対策は、DOMpurifyをバージョン2.5.0以降にアップデートすることです。アップデートが困難な場合は、一時的な回避策として、DOMpurifyの構成を強化し、ネスト構造の処理を厳密に制限することを検討してください。また、WAF（Web Application Firewall）を導入し、悪意のあるスクリプトの注入を検知・防御することも有効です。DOMpurifyのアップデート後、サニタイズされたHTMLコンテンツをテストし、脆弱性が解消されていることを確認してください。

修正方法

DOMPurify ライブラリをバージョン 2.5.0 以降、またはバージョン 3.1.3 以降にアップデートしてください。これにより、ネストベースの Cross-Site Scripting (XSS) 脆弱性が修正されます。npm または yarn などの、お好みのパッケージマネージャーを使用してライブラリをアップデートできます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-47875 — mXSS in DOMpurifyとは何ですか？