Bobbie Goede

**Nome do software vulnerável e versões afetadas** Versões do vue-i18n anteriores à 9.14.2 Versões do vue-i18n anteriores à 10.0.5 **Descrição** A vulnerabilidade diz respeito à possibilidade de um ataque de Cross-site Scripting (XSS) no vue-i18n, um plugin de internacionalização para o Vue.js. Isso ocorre quando ASTs de mensagens de localização são geradas no modo de desenvolvimento, permitindo uma possível exploração. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi especificado. Não há relatos de incidentes reais em que essa vulnerabilidade tenha sido explorada. Os detalhes técnicos incluem o uso de `createI18n` ou `useI18n` para passar mensagens de localização e a geração de ASTs pelo compilador de mensagens. A propriedade `static` na árvore AST é uma das otimizações que podem ser exploradas. **Recomendações** Para versões anteriores à 9.14.2, atualize para a versão 9.14.2 ou posterior. Para versões anteriores à 10.0.5, atualize para a versão 10.0.5 ou posterior. Como solução alternativa temporária para versões anteriores à v10.0.0, considere usar a compilação regular em vez da compilação jit, definindo `jit: false` na configuração do plugin `@intlify/unplugin-vue-i18n`.

**Nome do software vulnerável e versões afetadas** @intlify/shared versões 10.0.4 **Descrição** A vulnerabilidade está relacionada à contaminação de protótipos (Prototype Pollution) por meio da(s) função(ões) de entrada `lib.deepCopy`. Um invasor pode fornecer uma carga maliciosa com o setter `Object.prototype` para introduzir ou modificar propriedades na cadeia de protótipos global, causando, no mínimo, uma negação de serviço (DoS). As consequências dessa vulnerabilidade podem se agravar, levando a outros ataques baseados em injeção, dependendo de como a biblioteca está integrada ao aplicativo. Por exemplo, se a propriedade contaminada se propagar para APIs sensíveis do Node.js (por exemplo, `exec`, `eval`), isso poderia permitir que um invasor executasse comandos arbitrários dentro do contexto da aplicação. **Recomendações** Para a versão 10.0.4 do @intlify/shared, atualize para a versão 10.0.5 para resolver o problema. Como solução alternativa temporária, considere restringir o uso da função `lib.deepCopy` até que um patch esteja disponível. Evite usar o setter `Object.prototype` na função `lib.deepCopy` afetada até que o problema seja resolvido.