Katalog CVE

CVE-2026-48714

KrytyczneCVSS 9.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.38%

Percentyl 30 — wyżej niż 30% wszystkich znanych CVE

Streszczenie

W wersjach przed 3.9.7 biblioteka i18next-http-middleware nie blokowała wariantów kluczy z kropkami, takich jak '__proto__.polluted', co prowadziło do możliwości zdalnego zanieczyszczenia prototypu w aplikacjach korzystających z i18next-fs-backend w wersji ≤ 2.6.5.

Ocena ryzyka

Organizacje mogą być narażone na ataki, które prowadzą do awarii aplikacji, zniekształcenia tłumaczeń, złośliwej konfiguracji lub obejścia zabezpieczeń opartych na właściwościach.

Rekomendacja

Zaleca się nieudostępnianie missingKeyHandler niezaufanym użytkownikom, dodanie filtru do ciała żądania oraz wyłączenie trwałości kluczy brakujących, gdy akceptowane są dane wejściowe od niezaufanych źródeł.

Oryginalny opis (angielski, źródło NVD)

i18next-http-middleware is a middleware to be used with Node.js web frameworks like express or Fastify and also for Deno. In versions prior to 3.9.7, the missingKeyHandler blocked the literal request-body keys __proto__, constructor, and prototype (added in 3.9.3, see GHSA-5fgg-jcpf-8jjw), but did not reject dotted variants such as "__proto__.polluted". Downstream backends that split the missing-key string on a configured keySeparator (notably i18next-fs-backend ≤ 2.6.5) hand these keys to an unguarded setPath() walker that writes to Object.prototype. Applications that expose missingKeyHandler to untrusted input AND use i18next-fs-backend ≤ 2.6.5 are directly exploitable for remote prototype pollution. Other downstream backends that split the missing-key string the same way may be similarly affected. Depending on the host application, polluted prototype properties may cause crashes, corrupted translation behaviour, configuration poisoning, or bypasses of property-based security checks. This issue has been fixed in version 3.9.7. If developers cannot upgrade immediately, they should do the following: do not expose missingKeyHandler to untrusted users (mount it behind authentication, or remove the route), add a request-body filter ahead of the handler that rejects any top-level key containing __proto__, constructor, or prototype after splitting on their configured keySeparator, and disable missing-key persistence (saveMissing: false) when accepting writes from untrusted input.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS