JVNDB-2026-017597 | |
i18nextのi18next-http-backendにおける複数の脆弱性 | |
| 概要 | |
i18nextifyは、ソースコードを変更せずにスクリプトタグを通じてウェブサイトの国際化を追加できるJavaScriptライブラリです。バージョン3.0.5以前では、lngおよびnsの値をエンコード、検証、またはパスのサニタイズを行わずに、設定されたloadPathやaddPathのURLテンプレートに直接補間していました。アプリケーションが言語コードの選択をユーザーの入力に任せている場合(デフォルトでは、i18next-browser-languagedetectorが?lng=クエリパラメータ、クッキー、localStorage、リクエストヘッダーを参照します)、攻撃者は送信されるリクエストURLの構造を変更する文字を注入できます。これは単一のURLインジェクションの脆弱性です。攻撃者が制御する値は、出力されるURL文字列の一部として使用される前に無害化されます。攻撃の手法はパストラバーサルおよびより広範なURL構造のインジェクションの両方を含みますが、いずれもinterpolateUrlのサニタイズ修正によって解決されました。この問題はバージョン3.0.5で修正されています。すぐにアップグレードできないユーザーは、i18nextに到達する前にlngやnsをサニタイズすることで回避可能です(具体的には「..」、「/」、「?」、「#」、「%」、空白、制御文字を除去し、文字数を制限してください)。 | |
| CVSS による深刻度 (CVSS とは?) | |
|
CVSS v3 による深刻度
基本値: 9.1 (緊急) [NVD値]
| |
| 影響を受けるシステム | |
|
| |
i18next | |
本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。 | |
| 想定される影響 | |
・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 | |
| 対策 | |
ベンダ情報を参照して適切な対策を実施してください。 | |
| ベンダ情報 | |
GitHub | |
| CWEによる脆弱性タイプ一覧 CWEとは? | |
| |
| 共通脆弱性識別子(CVE) CVEとは? | |
|
| |
| 参考情報 | |
| |
| 更新履歴 | |
|
| 公表日 | 2026/05/07 |
| 登録日 | 2026/06/03 |
| 最終更新日 | 2026/06/03 |
