製品・ソフトウェアに関する情報

JVN脆弱性詳細

i18nextのi18nextifyにおける複数の脆弱性

Title	i18nextのi18nextifyにおける複数の脆弱性
Summary	i18nextifyは、ソースコードを変更することなくスクリプトタグを介してウェブサイトの国際化を追加するJavaScriptライブラリです。バージョン4.0.8以前では、srcおよびhref属性の値内の{{key}}補間トークンを、i18next.t()が返す生の文字列に置き換えます。src/localize.js内の置換ロジック（replaceInsideハンドラー）は、重複したhttp://起点のプレフィックスに対してのみ保護しており、置換された値のURLスキームを検証していません。翻訳ファイルの内容や翻訳バックエンドのレスポンスを攻撃者が操作できる場合（例えば、破損した翻訳CDN、ユーザー投稿ロケール、平文HTTPのバックエンドに対するMITM攻撃、または翻訳JSONへの書き込み権限によって）、javascript:alert(1)やdata:text/html,script.../scriptのような翻訳済み値が変更されずにライブDOM属性に適用される可能性があります。この問題はバージョン4.0.8で修正されました。
Possible impacts	・当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。・当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。・当該ソフトウェアは停止しません。
Solution	ベンダ情報を参照して適切な対策を実施してください。
Publication Date	May 7, 2026, midnight
Registration Date	June 3, 2026, 5:04 p.m.
Last Update	June 3, 2026, 5:04 p.m.

CVSS3.0 : 警告
Score	4.7
Vector	CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:L/A:N

Affected System

i18next

i18nextify 4.0.8 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-41692	https://www.cve.org/CVERecord?id=CVE-2026-41692
National Vulnerability Database (NVD)
2	CVE-2026-41692	https://nvd.nist.gov/vuln/detail/CVE-2026-41692

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html
2	CWE-94	https://jvndb.jvn.jp/ja/cwe/CWE-94.html

ベンダー情報

No	Name	URL
GitHub
1	DOM XSS via javascript:/data: URL schemes in translated href/src attributes in i18nextify Advisory i18next/i18nextify GitHub	https://github.com/i18next/i18nextify/security/advisories/GHSA-6457-mxpq-4fqq

その他

No	Name	URL
関連文書
1	security: hardening for 4.0.8 i18next/i18nextify@16f23db GitHub	https://github.com/i18next/i18nextify/commit/16f23dbcdcf893673587f7a03355bf7ce0a0e49e

Change Log

No	Changed Details	Date of change
1	[2026年06月03日] 掲載	June 3, 2026, 5:04 p.m.

NVD Vulnerability Information

CVE-2026-41692

Summary	i18nextify is a JavaScript library that adds website internationalization via a script tag, without source code changes. Versions prior to 4.0.8 substitute {{key}} interpolation tokens inside src and href attribute values with the raw string returned by i18next.t(). The substitution logic in src/localize.js (the replaceInside handler) only guards against a duplicated http:// origin prefix — it does not validate the URL scheme of the substituted value. A translated value such as javascript:alert(1) or data:text/html,<script>...</script> is applied unchanged to the live DOM attribute when an attacker can influence the content of a translation file or the translation-backend response — for example, via a compromised translation CDN, user-contributed locales, a MITM on a plain-HTTP backend, or write access to the translation JSON. This issue was patched in version 4.0.8.
Publication Date	May 8, 2026, 6:16 a.m.
Registration Date	May 9, 2026, 4:10 a.m.
Last Update	May 9, 2026, 1:05 a.m.

Related information, measures and tools

No	URL	refsource	タグ
1	https://github.com/i18next/i18nextify/commit/16f23dbcdcf893673587f7a03355bf7ce0a0e49e	security-advisories@github.com
2	https://github.com/i18next/i18nextify/security/advisories/GHSA-6457-mxpq-4fqq	security-advisories@github.com

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-79	クロスサイト・スクリプティング（XSS）	https://cwe.mitre.org/data/definitions/79.html
2	CWE-94	コード・インジェクション	https://cwe.mitre.org/data/definitions/94.html