CVE-2026-41691

Nome do Software Vulnerável e Versões Afetadas i18next-http-backend versões anteriores a 3.0.5

Descrição Versões da biblioteca interpolam os valores lng e ns diretamente nos templates de URL loadPath ou addPath configurados, sem codificação, validação ou sanitização de caminho. Quando a seleção do código de idioma é exposta a entradas controladas pelo usuário — como parâmetros de consulta, cookies, localStorage ou cabeçalhos de requisição — um invasor pode injetar caracteres para alterar a estrutura da URL de requisição de saída. Isso pode levar a travessia de diretório (path traversal), injeção de query-string e truncamento de fragmento. Em casos graves, isso pode resultar em Server-Side Request Forgery (SSRF) se o loadPath utilizar URLs internas ou esquemas de arquivo, ou bypass de autorização baseado em caminho. Adicionalmente, o software estava suscetível a falsificação de logs (log forging) via caracteres de controle em lng ou ns, vazamento de credenciais de autenticação Basic em callbacks de erro e amplificação de poluição de protótipo devido ao uso de loops for...in em addQueryString e customHeaders.

Recomendações Atualize para a versão 3.0.5. Como medida paliativa temporária, sanitize os valores de lng e ns antes que eles cheguem à biblioteca, removendo .., /, ``, ?, #, %, espaços em branco e caracteres de controle, além de limitar o comprimento da entrada.