CVE-2026-42353
🟡 Monitoruj
Brak sanitizacji wartości lng i ns w i18next-http-middleware umożliwia atak typu path traversal lub SSRF.
CVSS
8.2
EPSS
0.1%
Exploit
none
Vendor
Opis źródłowy (NVD)
i18next-http-middleware is a middleware to be used with Node.js web frameworks like express or Fastify and also for Deno. Prior to version 3.9.3, i18next-http-middleware passes the user-controlled lng and ns values from getResourcesHandler directly into i18next.services.backendConnector.load(languages, namespaces, …) without any sanitization. Depending on which backend is configured, the unvalidated path segments enable either path traversal or SSRF. This issue has been patched in version 3.9.3.
path-traversal ssrf
Brak patcha
Źródła i daty
| Źródło | Wartość |
|---|---|
| NVD – CVSS | 8.2 |
| CISA KEV (aktywnie wykorzystywane) | Nie |
| FIRST EPSS (prawdopodobieństwo exploita) | 0.1% |
| Opublikowano (NVD) | 2026-05-08 16:16:12 UTC |
| Ostatnia modyfikacja (NVD) | 2026-05-08 16:16:12 UTC |
Referencje
- https://github.com/i18next/i18next-http-middleware/security/advisories/GHSA-jfgf-83c5-2c4m (security-advisories@github.com)