CVE-2026-41886 in locizeinfo

Zusammenfassung

von VulDB • 18.05.2026

locize ist eine Lokalisierungsplattform, die Code und i18n-Konfigurationen verbindet. Vor Version 4.0.21 registriert das locize Client SDK einen `window.addEventListener("message", …)`-Handler, der an registrierte interne Handler (editKey, commitKey, commitKeys, isLocizeEnabled, requestInitialize, …) weiterleitet, ohne `event.origin` zu validieren. Der Pre-Patch-Listener in `src/api/postMessage.js` steuert die Weiterleitung basierend auf `event.data.sender === "i18next-editor-frame"` — dieser Wert befindet sich im vom Angreifer kontrollierten Nachrichten-Payload, nicht im vom Browser erzwungenen Ursprung. Jede Webseite, die von einem locize-fähigen Host eingebettet werden kann oder diesen einbetten kann — ein iframe auf einer Drittanbieterseite, ein über `window.open` geöffnetes Opfer, ein übergeordneter Frame, der nach unten greift — könnte eine manipulierte `postMessage` senden und die internen Handler auslösen. Dieses Problem wurde in Version 4.0.21 behoben.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

22.04.2026

Veröffentlichung

08.05.2026

Moderieren

akzeptiert

Eintrag

VDB-362312

CPE

bereit

EPSS

0.00016

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-41886
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-41886
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-41886/

ZurückÜbersichtWeiter

Want to stay up to date on a daily basis?

Enable the mail alert feature now!