CVE-2026-41238: Prototype Pollution → XSS Bypass trong DOMPurify (3.0.1–3.3.3)

Lỗ hổng mới trong DOMPurify — HTML sanitizer được dùng bởi 24 triệu downloads/tuần — cho phép bypass sanitization qua prototype pollution. Ảnh hưởng phiên bản 3.0.1 tới 3.3.3, đã vá trong 3.4.0. Upgrade ngay.