CVE-2026-57942
ŚrednieCVSS 5.3Streszczenie
LibreTranslate do wersji 1.9.7 zawiera podatność na fałszowanie adresów IP w funkcji get_remote_address(). Nieuwierzytelniony atakujący może wstrzyknąć dowolną wartość do nagłówka X-Forwarded-For, co pozwala na ominięcie ograniczeń IP i blokad.
Ocena ryzyka
Atakujący może ominąć limit żądań na adres IP oraz blokady, co prowadzi do nieograniczonego nadużywania API, przeciążenia serwera i potencjalnego wyczerpania zasobów.
Rekomendacja
Zaleca się natychmiastową aktualizację LibreTranslate do wersji zawierającej commit 397fd22 lub nowszej. Należy również skonfigurować zaufane proxy do walidacji nagłówka X-Forwarded-For.
Oryginalny opis (angielski, źródło NVD)
LibreTranslate through 1.9.7, fixed in commit 397fd22, contains an IP spoofing vulnerability in the get_remote_address() function that allows unauthenticated attackers to spoof client IP addresses by injecting arbitrary values into the X-Forwarded-For header without trusted proxy validation. Attackers can bypass per-IP rate limiting and flood bans by supplying forged addresses in the X-Forwarded-For header to enable unlimited API abuse.

