Een kritiek beveiligingslek is ontdekt in Vue I18n, een veelgebruikt internationalisatieplugin voor Vue.js. De kwetsbaarheid, CVE-2025-53892, stelt aanvallers in staat DOM-gebaseerde XSS-aanvallen uit te voeren via bepaalde tag-attributen zoals onerror, zelfs als de escapeParameterHtml: true optie is ingeschakeld. Dit betreft versies vanaf 9.0.0 tot de versies hieronder vermeld.
Overzicht
Dit probleem betreft een onjuiste neutralisatie van invoer tijdens webpagina-generatie (Cross-site Scripting, CWE-79). De kwetsbaarheid ontstaat wanneer waarde-interpolaties worden uitgevoerd binnen een HTML-context met gebruik van v-html. Hierdoor kunnen kwaadwillige payloads zoals <img src=x onerror=...> zonder waarschuwing worden uitgevoerd, wat voor beveiligingsrisico’s zorgt zelfs bij gebruik van escapeParameterHtml: true.
Aanbevelingen
Het is sterk aan te raden om onmiddellijk updates uit te voeren naar de gepatchte versies:
- Versie 9.14.5
- Versie 10.0.8
- Versie 11.1.0
Bronnen
- Github Security Advisories
- Pull Request 2229
- Pull Request 2230
- Commit 49f982
- Commit a47099
- Release 10.0.8
- Release 11.1.10
- Release 9.14.5
Vraag en Antwoord
Wat is CVE-2025-53892?
Dit CVE beschrijft een kwetsbaarheid binnen Vue I18n waarbij bepaalde payloads kunnen leiden tot DOM-gebaseerde XSS, zelfs met de escapeParameterHtml: true instelling.
Welke systemen zijn kwetsbaar voor CVE-2025-53892?
Alle systemen die afhankelijk zijn van Vue I18n in de versies tussen 9.0.0 en 9.14.5, 10.0.0 en 10.0.8, of 11.0.0 en 11.1.0.
Bestaat er al een patch of beveiligingsupdate?
Ja, updates zijn beschikbaar in versies 9.14.5, 10.0.8, en 11.1.0 om deze kwetsbaarheid te verhelpen.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan malafide code insluiten waarmee ze mogelijk toegang krijgen tot gebruikersinformatie of de controle over de weergegeven inhoud krijgen, zonder dat de gebruikers hiervan op de hoogte zijn.
