CVE-2026-41886 in locize
要約
〜によって VulDB • 2026年05月23日
locizeは、コードとi18n設定を接続するローカライゼーションプラットフォームです。バージョン4.0.21より前では、locizeクライアントSDKは`window.addEventListener("message", …)`ハンドラを登録しており、これは`event.origin`を検証せずに登録された内部ハンドラ(editKey、commitKey、commitKeys、isLocizeEnabled、requestInitializeなど)にディスパッチします。パッチ適用前のリスナーは`src/api/postMessage.js`にあり、ディスパッチを`event.data.sender === "i18next-editor-frame"`で制限していますが、この値はブラウザが強制するoriginではなく、攻撃者が制御可能なメッセージペイロード内に存在します。locize対応ホストによって埋め込まれる、または埋め込み可能な任意のウェブページ(サードパーティページのiframe、`window.open`で開かれた被害者ウィンドウ、上位フレームからのアクセスなど)は、作成されたpostMessageを送信して内部ハンドラをトリガーすることができます。この問題はバージョン4.0.21で修正されました。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.