Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Vue I18n (CVE-2025-53892)

Gravedad CVSS v4.0:
MEDIA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
16/07/2025
Última modificación:
22/07/2025

Descripción

Vue I18n es el complemento de internacionalización para Vue.js. La opción "escapeParameterHtml: true" de Vue I18n está diseñada para proteger contra la inyección de HTML/scripts mediante el escape de parámetros interpolados. Sin embargo, a partir de la versión 9.0.0 y anteriores a las versiones 9.14.5, 10.0.8 y 11.1.0, esta configuración no impide la ejecución de ciertos payloads basadas en etiquetas, como , si el valor interpolado se inserta dentro de un contexto HTML mediante v-html. Esto puede provocar una vulnerabilidad XSS basada en DOM, incluso al usar "escapeParameterHtml: true", si una cadena de traducción incluye HTML menor y se renderiza mediante v-html. Las versiones 9.14.5, 10.0.8 y 11.1.0 incluyen una solución para este problema.