V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
CVE-2026-48713Критический

Версии до 2.6.6 уязвимы для загрязнения прототипами с помощью созданных струн с отсутствующего ключа при использовании для сохранения недос…

CVSS
9.1
Критический
EPSS
0.00
p33
Опубликовано
2026-01-01
Обновлено
2026-01-01
Описание

Версии до 2.6.6 уязвимы для загрязнения прототипами с помощью созданных струн с отсутствующего ключа при использовании для сохранения недостающих ключей перевода (например, через i18next-http-middleware's missingKeyHandler, подверженный ненадежному вводу). Backend.writeFile() разделяет каждую очерченную строку отсутствующего ключа на настроенном ключеSeparator (по умолчанию .), прежде чем вызвать внутренний ходок setPath(). Ходячий (getLastOfPath in lib/utils.js) не защищался от небезопасных сегментов, поэтому такой ключ, как "__proto___, polluted", был разделен на ["__proto__", "загрязненный"] и вошел прямо в Object.prototype, позволяя злоумышленнику записывать произвольные свойства на прототип глобального объекта. В зависимости от приложения хоста, загрязненные свойства прототипа могут вызывать сбои, поврежденное поведение перевода, отравление конфигурацией или обходы проверок безопасности на основе имущества. Приложения затрагиваются только в том случае, если пропущенныйKeyHandler (или другой маршрут, который направляет ненадежные органы запроса в i18next.t(..., { }) с saveMissing: true) доступен ненадежными пользователями, и используется поведение по умолчанию при разделении строк отсутствующего ключа на ключеSeparator (т.е. KeySeparator не является ложным). Приложения, которые не подвергают недосторожность ненадежному вводу, напрямую не затрагиваются этим путем атаки. Эта проблема исправлена в версии 2.6.6. Если разработчики, использующие библиотеку, не могут немедленно обновиться, они должны принять следующие меры предосторожности: не подвергать i18next-http-middlelware пропущенныйKeHandler ненадежным пользователям (монтировать его за аутентификацией или удалить маршрут), отключить постоянство отсутствующего ключа (saveMissing: false, or no backend.create реализация) при принятии письменных сообщений с ненадежного ввода и установить ключ.Вложенные ключи перевода).

Теги · CWE
Без аутентификации
CWE-1321
CAPEC-1
CAPEC-77
CAPEC-180
Вектор CVSS
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H
Хронология
2026-01-01
Опубликована
2026-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: L
Низкая (L)
Требуемые привилегии
PR: N
Отсутствуют (N)
Взаимодействие с пользователем
UI: N
Отсутствует (N)
Область воздействия
S: U
Неизменная (U)
Воздействие на конфиденциальность
C: N
Отсутствует (N)
Воздействие на целостность
I: H
Высокое (H)
Воздействие на доступность
A: H
Высокое (H)
Индикаторы эксплуатации
EPSS
0.004 · p33
Известна эксплуатация (KEV)
Нет
MITRE ATT&CK
Выводимые через CAPEC
Проверки Сканер-ВС
Проверок Сканер-ВС для этой уязвимости в базе пока нет.
Нет уязвимостей под заданные фильтры.