CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-41692

Medium
Published: Translated: NVD NIST

Summary

i18nextify to biblioteka JavaScript, która umożliwia internacjonalizację stron internetowych bez zmian w kodzie źródłowym. W wersjach przed 4.0.8, tokeny interpolacji {{key}} w atrybutach src i href są zastępowane surowym ciągiem zwracanym przez i18next.t(), co może prowadzić do wstrzyknięcia niebezpiecznych wartości, takich jak javascript:alert(1).

Risk Assessment

Atakujący może wykorzystać tę podatność do wstrzyknięcia złośliwego kodu do atrybutów DOM, co może prowadzić do poważnych zagrożeń bezpieczeństwa, takich jak kradzież danych lub wykonanie nieautoryzowanego kodu.

Recommendation

Zaleca się aktualizację biblioteki i18nextify do wersji 4.0.8 lub nowszej, aby usunąć tę podatność oraz wprowadzenie dodatkowych zabezpieczeń w celu weryfikacji źródeł tłumaczeń.

Original NVD description (English source)

i18nextify is a JavaScript library that adds website internationalization via a script tag, without source code changes. Versions prior to 4.0.8 substitute {{key}} interpolation tokens inside src and href attribute values with the raw string returned by i18next.t(). The substitution logic in src/localize.js (the replaceInside handler) only guards against a duplicated http:// origin prefix — it does not validate the URL scheme of the substituted value. A translated value such as javascript:alert(1) or data:text/html,<script>...</script> is applied unchanged to the live DOM attribute when an attacker can influence the content of a translation file or the translation-backend response — for example, via a compromised translation CDN, user-contributed locales, a MITM on a plain-HTTP backend, or write access to the translation JSON. This issue was patched in version 4.0.8.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS