Reproduced DOMPurify 3.1.0 bypass, but my payload requires two mutations. Has anyone managed to trigger it with a single mutation?

I posted a blog regarding the vulnerabilities in the runtime of programming languages, including the recent Rust's critical vulnerability.

【津波警報】
津波警報を発表しました。
ただちに避難してください。
発表日時 3日09時01分
対象地域：沖縄本島地方、宮古島・八重山地方

HackerOneアンバサダークラブの日本部門アンバサダーになりました。
日本におけるバグバウンティコミュニティはまだまだ小さいのが現状ですが、これから更に盛り上げていけるよう尽力します。

また、日本在住のバグハンターの方でアンバサダークラブの会員になりたいという方はDM等でご一報ください。

We published a new blog by RyotaK. Check it out!

Bypassing DOMPurify with good old XML
flatt.tech/research/posts…

I posted about a bypass of a recent DOMPurify patch, which allowed DOMPurify bypass in certain cases.

twitter.com/flatt_sec_en/s…

We’re responding to CVE-2024-3094, a reported supply chain compromise affecting XZ Utils versions 5.6.0 and 5.6.1. XZ Utils may be present in Linux distributions. See our additional guidance at cisa.gov/news-events/al….

Another really impressive variation of the XML Processing Instruction attack was spotted by RyotaK, thanks for reporting ❤️

It is now fixed, DOMPurify 2.4.9 & 3.0.11 were released.
Note that the attacks only work in case XML & HTML are mixed, most users might not be affected.

特定条件下で刺さるDOMPurifyのバイパスを報告しました。後日軽い解説記事を書くかもしれません

別の所で明日発表されようとしている...?
pub.confit.atlas.jp/ja/event/gener…

osu!gaming CTFで謎のRTA(?)をして89位でした
4時間でpp-ranking以外のWeb問潰したので許してくださいの気持ちです

確定申告が終わったことを記念して、確定申告をやる際に使用したワールドを公開しました(?)

vrchat.com/home/world/wrl…

公開にあたってワールドデータを手直ししていただいた🥞氏に改めて感謝申し上げます

Major Tsunami Warning – 1/1, 4:22pm
The Tsunami Warning has been upgraded to a Major Tsunami Warning. Waves of up to 5m are expected. Those near coastal areas, rivers, or lakes should evacuate to higher ground immediately. #tsunami

BREAKING: 7.4-magnitude earthquake hits western Japan, tsunami warnings in effect - JMA