Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-08516

Опубликовано: 24 нояб. 2023
Источник: fstec
CVSS3: 3.7
CVSS2: 2.6
EPSS Низкий

Описание

Уязвимость пакета google-translate-api-browser пакетного менеджера NPM связана с недостаточной проверкой поступающих запросов. Эксплуатация уязвимости может позволить нарушителю , действующему удаленно, осуществить SSRF-атаку

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

google-translate-api-browser

Версия ПО

до 4.1.3 (google-translate-api-browser)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 2,6)
Низкий уровень опасности (базовая оценка CVSS 3.0 составляет 3,7)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://github.com/cjvnjde/google-translate-api-browser/commit/33c2eac4a21c6504409e7b06dd16e6346f93d34b

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 20%
0.00063
Низкий

3.7 Low

CVSS3

2.6 Low

CVSS2

Связанные уязвимости

nvd логотип

CVE-2023-48711

CVSS3: 3.7
nvd
около 2 лет назад

google-translate-api-browser is an npm package which interfaces with the google translate web api. A Server-Side Request Forgery (SSRF) Vulnerability is present in applications utilizing the `google-translate-api-browser` package and exposing the `translateOptions` to the end user. An attacker can set a malicious `tld`, causing the application to return unsafe URLs pointing towards local resources. The `translateOptions.tld` field is not properly sanitized before being placed in the Google translate URL. This can allow an attacker with control over the `translateOptions` to set the `tld` to a payload such as `@127.0.0.1`. This causes the full URL to become `https://translate.google.@127.0.0.1/...`, where `translate.google.` is the username used to connect to localhost. An attacker can send requests within internal networks and the local host. Should any HTTPS application be present on the internal network with a vulnerability exploitable via a GET call, then it would be possible to exp

github логотип

GHSA-4233-7q5q-m7p6

CVSS3: 3.7
github
около 2 лет назад

google-translate-api-browser Server-Side Request Forgery (SSRF) Vulnerability

EPSS

Процентиль: 20%
0.00063
Низкий

3.7 Low

CVSS3

2.6 Low

CVSS2