| Title | i18nextのi18next-fs-backendにおけるオブジェクトプロトタイプ属性の不適切に制御された変更に関する脆弱性 |
|---|---|
| Summary | バージョン2.6.6以前のi18nextには、不正に作成されたmissing-key文字列を介してプロトタイプ汚染が発生する脆弱性があります。この脆弱性は、不足している翻訳キーを永続化する際に使用された場合に影響し、例えばuntrustedな入力に公開されたi18next-http-middlewareのmissingKeyHandlerを介するケースが挙げられます。Backend.writeFile()は、内部のsetPath()ウォーカーを呼び出す前に、キーワード区切り文字(デフォルトはドット)でキューに入った各missing-key文字列を分割します。しかし、ウォーカー(lib/utils.jsのgetLastOfPath)は安全でないセグメントに対する保護を行わないため、"__proto__.polluted"のようなキーは["__proto__", "polluted"]に分割され、そのままObject.prototypeにアクセスしてしまいます。その結果、攻撃者がグローバルオブジェクトのプロトタイプ上に任意のプロパティを書き込むことが可能になります。ホストアプリケーションによっては、汚染されたプロトタイプのプロパティによりクラッシュ、翻訳の破損、設定の汚染、またはプロパティベースのセキュリティチェックの回避が引き起こされる可能性があります。影響を受けるのは、missingKeyHandler(または他のルートでuntrustedなリクエストボディをi18next.t(..., {...})にforwardし、saveMissing: trueを使用しているもの)がuntrustedユーザーに到達可能であり、missing-key文字列の分割にデフォルトのkeySeparatorが使用されている場合のみです(すなわち、keySeparatorがfalseでない場合です)。untrustedな入力に対してmissing-keyの永続化を公開していないアプリケーションには、この攻撃経路による直接の影響はありません。この問題はバージョン2.6.6で修正されました。直ちにアップグレードできない開発者は、次の対策を行うべきです。i18next-http-middlewareのmissingKeyHandlerをuntrustedユーザーに公開しないこと(認証の背後に設置するかルートを削除する)、untrustedな入力からの書き込みを受け入れる場合はmissing-key永続化を無効にすること(saveMissing: falseまたはbackend.create実装なしを利用する)、およびi18nextのオプションでkeySeparatorをfalseに設定してbackendのキー分割を無効にすること(注意:これによりネストされた翻訳キーも無効になります)。 |
| Possible impacts | ・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアが完全に停止する可能性があります。 |
| Solution | ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | June 15, 2026, midnight |
| Registration Date | June 22, 2026, 11:32 a.m. |
| Last Update | June 22, 2026, 11:32 a.m. |
| CVSS3.0 : 緊急 | |
| Score | 9.1 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H |
| i18next |
| i18next-fs-backend 2.6.6 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年06月22日] 掲載 |
June 22, 2026, 11:32 a.m. |
| Summary | Versions prior to 2.6.6 are vulnerable to prototype pollution via crafted missing-key strings when used to persist missing translation keys (e.g. via i18next-http-middleware's missingKeyHandler exposed to untrusted input). Backend.writeFile() splits each queued missing-key string on the configured keySeparator (default .) before calling the internal setPath() walker. The walker (getLastOfPath in lib/utils.js) did not guard against unsafe segments, so a key like "__proto__.polluted" was split into ["__proto__", "polluted"] and walked straight into Object.prototype, allowing an attacker to write arbitrary properties onto the global object prototype. Depending on the host application, polluted prototype properties may cause crashes, corrupted translation behaviour, configuration poisoning, or bypasses of property-based security checks. Applications are affected only if the missingKeyHandler (or another route that forwards untrusted request bodies to i18next.t(..., { ... }) with saveMissing: true) is reachable by untrusted users and the default behaviour of splitting missing-key strings on keySeparator is in use (i.e. keySeparator is not false). Apps that do not expose missing-key persistence to untrusted input are not directly affected through this attack path. This issue has been fixed in version 2.6.6. If developers using the library are unable to upgrade immediately, they should take the following precautions: do not expose i18next-http-middleware's missingKeyHandler to untrusted users (mount it behind authentication, or remove the route), disable missing-key persistence (saveMissing: false, or no backend.create implementation) when accepting writes from untrusted input, and set keySeparator: false in their i18next options to disable backend key splitting (note: this also disables nested translation keys). |
|---|---|
| Publication Date | June 16, 2026, 7:16 a.m. |
| Registration Date | June 17, 2026, 4:16 a.m. |
| Last Update | June 17, 2026, 12:46 a.m. |