CVE-2026-41683 in i18next-http-middleware
요약
\~에 의해 VulDB • 2026. 05. 22.
i18next-http-middleware는 Express 또는 Fastify와 같은 Node.js 웹 프레임워크 및 Deno와 함께 사용할 수 있는 미들웨어입니다. 버전 3.9.3 이전의 i18next-http-middleware는 utils.escape()를 통해 전달된 후 사용자 제어 언어 값을 Content-Language 응답 헤더에 기록했습니다. 여기서 utils.escape()는 캐리지 리턴, 라인 피드 또는 기타 제어 문자를 제거하지 않는 HTML 엔티티 인코더입니다. 애플리케이션에서 LanguageDetector.js:100에서 후방 호환성 폴백을 여전히 사용하거나 그렇지 않은 경우 원시 감지된 값을 생성하는 이전 버전의 i18next(< 19.5.0)를 사용하는 경우, 공격자가 제어하는 lng 매개변수의 CRLF 시퀀스가 res.setHeader('Content-Language', ...)에 그대로 전달되었습니다. 이 문제는 버전 3.9.3에서 패치되었습니다.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.