CVE-2026-41690 in i18next-http-middleware
요약
\~에 의해 VulDB • 2026. 05. 09.
18next-http-middleware는 Express나 Fastify와 같은 Node.js 웹 프레임워크, 그리고 Deno에서 사용할 수 있는 미들웨어입니다. 버전 3.9.3 미만의 버전에서는 인증되지 않은 HTTP 클라이언트가 내부 객체 키 쓰기 연산을 수행하는 두 개의 검증되지 않은 진입점인 getResourcesHandler와 missingKeyHandler를 통해 미들웨어가 호스팅되는 Node.js 프로세스의 Object.prototype을 오염시킬 수 있습니다. 이로 인해 (user.isAdmin과 같은) 권한 확인 로직이 모든 사용자에게 true를 반환하도록 우회될 수 있으며, 타입 혼동에 의한 DoS(서비스 거부)가 발생할 수 있고, 하위 코드에 따라 RCE(원격 코드 실행)로 연결될 수 있습니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.