CVE-2026-41692
ŚrednieStreszczenie
i18nextify to biblioteka JavaScript, która umożliwia internacjonalizację stron internetowych bez zmian w kodzie źródłowym. W wersjach przed 4.0.8, tokeny interpolacji {{key}} w atrybutach src i href są zastępowane surowym ciągiem zwracanym przez i18next.t(), co może prowadzić do wstrzyknięcia niebezpiecznych wartości, takich jak javascript:alert(1).
Ocena ryzyka
Atakujący może wykorzystać tę podatność do wstrzyknięcia złośliwego kodu do atrybutów DOM, co może prowadzić do poważnych zagrożeń bezpieczeństwa, takich jak kradzież danych lub wykonanie nieautoryzowanego kodu.
Rekomendacja
Zaleca się aktualizację biblioteki i18nextify do wersji 4.0.8 lub nowszej, aby usunąć tę podatność oraz wprowadzenie dodatkowych zabezpieczeń w celu weryfikacji źródeł tłumaczeń.
Oryginalny opis (angielski, źródło NVD)
i18nextify is a JavaScript library that adds website internationalization via a script tag, without source code changes. Versions prior to 4.0.8 substitute {{key}} interpolation tokens inside src and href attribute values with the raw string returned by i18next.t(). The substitution logic in src/localize.js (the replaceInside handler) only guards against a duplicated http:// origin prefix — it does not validate the URL scheme of the substituted value. A translated value such as javascript:alert(1) or data:text/html,<script>...</script> is applied unchanged to the live DOM attribute when an attacker can influence the content of a translation file or the translation-backend response — for example, via a compromised translation CDN, user-contributed locales, a MITM on a plain-HTTP backend, or write access to the translation JSON. This issue was patched in version 4.0.8.

