CVE-2025-27597

Nome do Software Vulnerável e Versões Afetadas @intlify/message-resolver versão 9.1 @intlify/vue-i18n-core versões 9.2 e posteriores

Descrição A vulnerabilidade consiste em um problema de Prototype Pollution na função de entrada: handleFlatJson. Um atacante pode fornecer um payload com um setter de Object.prototype para introduzir ou modificar propriedades na cadeia de protótipo global, causando negação de serviço (DoS) como consequência mínima. As consequências desta vulnerabilidade podem evoluir para outros ataques baseados em injeção, dependendo de como a biblioteca é integrada na aplicação. Por exemplo, se a propriedade poluída se propagar para APIs sensíveis do Node.js (por exemplo, exec, eval), isso poderia permitir que um atacante executasse comandos arbitrários dentro do contexto da aplicação.

Recomendações Como solução temporária, considere desabilitar a função handleFlatJson até que uma correção esteja disponível. Restrinja o acesso aos módulos vulneráveis @intlify/message-resolver e @intlify/vue-i18n-core para minimizar o risco de exploração. Evite usar a propriedade proto no endpoint de API afetado até que o problema seja resolvido. Atualize @intlify/message-resolver e @intlify/vue-i18n-core para uma versão que contenha a correção para esta vulnerabilidade.