PT-2026-37156 · Locize · Locize

Publicado

2026-04-22

·

Atualizado

2026-05-08

·

CVE-2026-41886

CVSS v3.1

7.5

Alta

VetorAV:N/AC:H/PR:N/UI:R/S:C/C:L/I:H/A:L
Nome do Software Vulnerável e Versões Afetadas locize versões anteriores a 4.0.21
Descrição O SDK do cliente locize registra um manipulador window.addEventListener("message", …) que despacha para manipuladores internos, como editKey(), commitKey(), commitKeys(), isLocizeEnabled() e requestInitialize(), sem validar o event.origin. O ouvinte em src/api/postMessage.js confia incorretamente em event.data.sender === "i18next-editor-frame", um valor dentro do payload controlado pelo invasor, em vez da origem imposta pelo navegador. Isso permite que qualquer página web que possa incorporar ou ser incorporada por um host habilitado ao locize envie um postMessage manipulado e acione os manipuladores internos. Os impactos potenciais incluem:
  • XSS de DOM cross-origin via editKey() e commitKeys() ao atribuir valores controlados pelo invasor ao innerHTML ou atributos.
  • Sequestro de api.source e api.origin via isLocizeEnabled(), levando ao vazamento de conteúdo de tradução e metadados para uma janela controlada pelo invasor.
  • Injeção de CSS e escape de layout via requestPopupChanges() ao interpolar containerStyle.height e .width não validados em expressões CSS.
Recomendações Atualize para a versão 4.0.21.

Correção

XSS

Origin Validation Error

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-79CWE-346

Identificadores relacionados

CVE-2026-41886
GHSA-W937-FG2H-XHQ2

Produtos afetados

Locize