CVE-2026-41692 CVSS 4.7 中危

CVE-2026-41692 i18nextify DOM属性XSS漏洞

披露日期: 2026-05-07

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-41692

漏洞类型

DOM型跨站脚本攻击 (DOM XSS)

CVSS评分

4.7 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

i18nextify

漏洞概述

i18nextify是一个用于网站国际化的JavaScript库。在4.0.8版本之前，该库在处理src和href属性的{{key}}插值时存在安全漏洞。它直接将翻译后的原始字符串应用到DOM属性中，而未对URL scheme进行有效验证。如果攻击者能够篡改翻译文件或后端响应（例如通过劫持CDN或中间人攻击），即可注入恶意脚本（如javascript:alert(1)），导致客户端代码执行。

技术细节

该漏洞源于i18nextify库中src/localize.js文件的replaceInside处理逻辑。当库解析带有{{key}}占位符的HTML属性（主要是src和href）时，会调用i18next.t()获取翻译内容并直接替换。虽然代码中存在针对重复http://前缀的检查，但并未过滤或验证URL的协议头。因此，当翻译接口返回的值为javascript:...或data:...时，这些值会被原样写入DOM。利用场景包括攻破翻译CDN、提交恶意用户语言包、HTTP后端中间人攻击或修改JSON文件。一旦恶意载荷加载到DOM，用户交互即会触发恶意代码。

攻击链分析

STEP 1

1. 侦察与识别

攻击者识别出目标网站使用了i18nextify库且版本低于4.0.8，并定位到外部翻译资源加载接口（如CDN或JSON文件）。

STEP 2

2. 篡改翻译源

攻击者通过入侵翻译CDN、中间人攻击HTTP连接或直接修改翻译文件，将特定键（如链接属性）的值替换为javascript:alert(1)等恶意Payload。

STEP 3

3. 恶意内容渲染

当用户访问目标网站时，i18nextify库获取被篡改的翻译数据，并将包含javascript协议的字符串直接替换到HTML标签的href或src属性中。

STEP 4

4. 触发漏洞

浏览器解析DOM，若用户点击该链接或脚本自动加载，浏览器将执行JavaScript代码，导致XSS攻击成功。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// Malicious translation payload example
// Inject this into the translation JSON backend
{
  "translation": {
    "download_link": "javascript:alert('CVE-2026-41692_PoC')"
  }
}

// HTML Template processed by i18nextify
// <a href="{{download_link}}">Download</a>

// Resulting DOM after vulnerable processing:
// <a href="javascript:alert('CVE-2026-41692_PoC')">Download</a>

影响范围

i18nextify < 4.0.8

防御指南

临时缓解措施

如果无法立即升级，请审查所有翻译文件内容，过滤掉包含javascript:、data:、vbscript:等协议的字符串，并强制使用HTTPS加载翻译资源以防止中间人攻击。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表