Adraicommitted

**Nome do Software Vulnerável e Versões Afetadas** i18next-http-backend versões anteriores a 3.0.5 **Descrição** Versões da biblioteca interpolam os valores `lng` e `ns` diretamente nos templates de URL `loadPath` ou `addPath` configurados, sem codificação, validação ou sanitização de caminho. Quando a seleção do código de idioma é exposta a entradas controladas pelo usuário — como parâmetros de consulta, cookies, `localStorage` ou cabeçalhos de requisição — um invasor pode injetar caracteres para alterar a estrutura da URL de requisição de saída. Isso pode levar a travessia de diretório (path traversal), injeção de query-string e truncamento de fragmento. Em casos graves, isso pode resultar em Server-Side Request Forgery (SSRF) se o `loadPath` utilizar URLs internas ou esquemas de arquivo, ou bypass de autorização baseado em caminho. Adicionalmente, o software estava suscetível a falsificação de logs (log forging) via caracteres de controle em `lng` ou `ns`, vazamento de credenciais de autenticação Basic em callbacks de erro e amplificação de poluição de protótipo devido ao uso de loops `for...in` em `addQueryString` e `customHeaders`. **Recomendações** Atualize para a versão 3.0.5. Como medida paliativa temporária, sanitize os valores de `lng` e `ns` antes que eles cheguem à biblioteca, removendo `..`, `/`, ``, `?`, `#`, `%`, espaços em branco e caracteres de controle, além de limitar o comprimento da entrada.