JVNDB-2026-017596

i18nextのi18nextifyにおける複数の脆弱性

i18nextifyは、ソースコードを変更することなくスクリプトタグを介してウェブサイトの国際化を追加するJavaScriptライブラリです。バージョン4.0.8以前では、srcおよびhref属性の値内の{{key}}補間トークンを、i18next.t()が返す生の文字列に置き換えます。src/localize.js内の置換ロジック（replaceInsideハンドラー）は、重複したhttp://起点のプレフィックスに対してのみ保護しており、置換された値のURLスキームを検証していません。翻訳ファイルの内容や翻訳バックエンドのレスポンスを攻撃者が操作できる場合（例えば、破損した翻訳CDN、ユーザー投稿ロケール、平文HTTPのバックエンドに対するMITM攻撃、または翻訳JSONへの書き込み権限によって）、javascript:alert(1)やdata:text/html,script.../scriptのような翻訳済み値が変更されずにライブDOM属性に適用される可能性があります。この問題はバージョン4.0.8で修正されました。

i18next

• i18nextify 4.0.8 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

・当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。
・当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。
・当該ソフトウェアは停止しません。

ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : DOM XSS via javascript:/data: URL schemes in translated href/src attributes in i18nextify  Advisory  i18next/i18nextify  GitHub

1. クロスサイトスクリプティング(CWE-79) [その他]
2. コード・インジェクション(CWE-94) [その他]

1. CVE-2026-41692

1. National Vulnerability Database (NVD) : CVE-2026-41692
2. 関連文書 : security: hardening for 4.0.8  i18next/i18nextify@16f23db  GitHub

• [2026年06月03日]
    掲載