CVE-2026-41693

Nome do Software Vulnerável e Versões Afetadas i18next-fs-backend versões anteriores a 2.6.4

Descrição O i18next-fs-backend substitui as opções lng e ns diretamente nos templates loadPath e addPath configurados para ler ou gravar arquivos no disco. Como essa interpolação não é codificada nem validada, um invasor que possa influenciar esses valores — como por meio de strings de consulta, cookies ou cabeçalhos em instâncias com escopo de requisição — pode usar valores manipulados contendo separadores de caminho ou chaves de protótipo para ler ou sobrescrever arquivos fora do diretório de localidade pretendido. Isso pode levar à leitura arbitrária de arquivos, sobrescrita arbitrária de arquivos ou execução no lado do servidor se o backend estiver configurado para carregar e avaliar arquivos .js ou .ts.

Detalhes técnicos incluem as funções vulneráveis read(), removeFile() e writeFile(), que utilizam um auxiliar interpolate() em lib/utils.js que carece de validação de componentes de caminho.

Recomendações Atualize para a versão 2.6.4. Como alternativa temporária, sanitize lng e ns no limite da aplicação, rejeitando valores que contenham .., /, `` ou caracteres de controle, e limitando o comprimento máximo da string.