CVE-2026-41691
MediumSummary
i18nextify to biblioteka JavaScript, która umożliwia internacjonalizację stron internetowych bez zmian w kodzie źródłowym. W wersjach przed 3.0.5 wartości lng i ns są interpolowane bez odpowiedniego kodowania, walidacji lub sanitizacji, co pozwala na wstrzykiwanie złośliwych danych przez użytkowników.
Risk Assessment
Atakujący może zmienić strukturę URL wychodzącego żądania, co prowadzi do potencjalnych ataków typu path traversal oraz wstrzykiwania złośliwych URL. To stwarza poważne ryzyko dla bezpieczeństwa aplikacji i danych użytkowników.
Recommendation
Zaleca się aktualizację do wersji 3.0.5, która naprawia tę podatność. Jeśli aktualizacja nie jest możliwa, należy zrealizować sanitizację wartości lng/ns przed ich użyciem w i18next.
Original NVD description (English source)
Copilot said: i18nextify is a JavaScript library that adds i18nextify is a JavaScript library that adds website internationalization via a script tag, without source code changes. Versions prior to 3.0.5 interpolate the lng and ns values directly into the configured loadPath / addPath URL template without any encoding, validation, or path sanitisation. When an application exposes the language-code selection to user-controlled input (the default — i18next-browser-languagedetector reads ?lng= query params, cookies, localStorage, and request headers), an attacker can inject characters that change the structure of the outgoing request URL. This is a single URL-injection vulnerability. The attacker-controlled value is neutralised before it is used as part of an output URL string; the attack shape covers both path traversal and broader URL-structure injection — both are closed by the one interpolateUrl sanitisation fix. This issue has been fixed in version 3.0.5. If users cannot upgrade immediately, they can work around the issue by sanitising lng / ns before they reach i18next (strip .., /, \, ?, #, %, whitespace, and control characters; cap the length).

