Katalog CVE

CVE-2026-57942

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

LibreTranslate do wersji 1.9.7 zawiera podatność na fałszowanie adresów IP w funkcji get_remote_address(). Nieuwierzytelniony atakujący może wstrzyknąć dowolną wartość do nagłówka X-Forwarded-For, co pozwala na ominięcie ograniczeń IP i blokad.

Ocena ryzyka

Atakujący może ominąć limit żądań na adres IP oraz blokady, co prowadzi do nieograniczonego nadużywania API, przeciążenia serwera i potencjalnego wyczerpania zasobów.

Rekomendacja

Zaleca się natychmiastową aktualizację LibreTranslate do wersji zawierającej commit 397fd22 lub nowszej. Należy również skonfigurować zaufane proxy do walidacji nagłówka X-Forwarded-For.

Oryginalny opis (angielski, źródło NVD)

LibreTranslate through 1.9.7, fixed in commit 397fd22, contains an IP spoofing vulnerability in the get_remote_address() function that allows unauthenticated attackers to spoof client IP addresses by injecting arbitrary values into the X-Forwarded-For header without trusted proxy validation. Attackers can bypass per-IP rate limiting and flood bans by supplying forged addresses in the X-Forwarded-For header to enable unlimited API abuse.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS