CVE-2026-41886 in locizeinformation

Résumé

par VulDB • 11/05/2026

locize est une plateforme de localisation qui relie le code et la configuration i18n. Avant la version 4.0.21, le SDK client de locize enregistre un gestionnaire `window.addEventListener("message", …)` qui dispatche vers des gestionnaires internes enregistrés (editKey, commitKey, commitKeys, isLocizeEnabled, requestInitialize, …) sans valider `event.origin`. Le listener pré-correction dans `src/api/postMessage.js` conditionne le dispatch sur `event.data.sender === "i18next-editor-frame"` — cette valeur se trouve dans la charge utile du message contrôlée par l'attaquant, et non dans l'origine imposée par le navigateur. Toute page web pouvant intégrer ou être intégrée par un hôte activant locize — un iframe sur une page tierce, une victime ouverte via `window.open`, ou un cadre parent accédant vers le bas — pourrait envoyer un `postMessage` fabriqué et déclencher les gestionnaires internes. Ce problème a été corrigé dans la version 4.0.21.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Réserver

22/04/2026

Divulgation

08/05/2026

Modérer

accepté

Entrée

VDB-362312

CPE

prêt

EPSS

0.00016

KEV

non

Activités

très faible

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-41886
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-41886
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-41886/

PrécédentAperçuSuivant

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!