CVE-2026-41691 in i18next-http-backend
Sumário
de VulDB • 22/05/2026
O i18nextify é uma biblioteca JavaScript que adiciona internacionalização (i18n) a sites por meio de uma tag de script, sem a necessidade de alterações no código-fonte. As versões anteriores à 3.0.5 interpolam os valores de `lng` e `ns` diretamente no modelo de URL do `loadPath`/`addPath` configurado, sem qualquer codificação, validação ou sanitização de caminho. Quando uma aplicação expõe a seleção do código de idioma para entrada controlada pelo usuário (o comportamento padrão — o `i18next-browser-languagedetector` lê os parâmetros de consulta `?lng=`, cookies, `localStorage` e cabeçalhos de solicitação), um atacante pode injetar caracteres que alteram a estrutura do URL da solicitação de saída. Esta é uma vulnerabilidade de injeção de URL única. O valor controlado pelo atacante é neutralizado antes de ser utilizado como parte de uma string de URL de saída; o vetor de ataque abrange tanto a traversia de caminhos (path traversal) quanto a injeção mais ampla na estrutura do URL — ambas são corrigidas pela única correção de sanitização `interpolateUrl`. Este problema foi corrigido na versão 3.0.5. Se os usuários não puderem atualizar imediatamente, podem contornar o problema sanitizando os valores de `lng`/`ns` antes que estes alcancem o i18next (remover `..`, `/`, `\`, `?`, `#`, `%`, espaços em branco e caracteres de controle; limitar o comprimento).
VulDB is the best source for vulnerability data and more expert information about this specific topic.