PT-2024-35457 · Vue-I18N · Vue-I18N
Bobbie Goede
·
Publicado
2024-11-29
·
Atualizado
2024-12-02
·
CVE-2024-52809
CVSS v4.0
5.3
Média
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:P/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
Nome do software vulnerável e versões afetadas
Versões do vue-i18n anteriores à 9.14.2
Versões do vue-i18n anteriores à 10.0.5
Descrição
A vulnerabilidade diz respeito à possibilidade de um ataque de Cross-site Scripting (XSS) no vue-i18n, um plugin de internacionalização para o Vue.js. Isso ocorre quando ASTs de mensagens de localização são geradas no modo de desenvolvimento, permitindo uma possível exploração. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi especificado. Não há relatos de incidentes reais em que essa vulnerabilidade tenha sido explorada. Os detalhes técnicos incluem o uso de
createI18n ou useI18n para passar mensagens de localização e a geração de ASTs pelo compilador de mensagens. A propriedade static na árvore AST é uma das otimizações que podem ser exploradas.Recomendações
Para versões anteriores à 9.14.2, atualize para a versão 9.14.2 ou posterior.
Para versões anteriores à 10.0.5, atualize para a versão 10.0.5 ou posterior.
Como solução alternativa temporária para versões anteriores à v10.0.0, considere usar a compilação regular em vez da compilação jit, definindo
jit: false na configuração do plugin @intlify/unplugin-vue-i18n.Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Vue-I18N