i18n JSON - File Exposure

漏洞信息

漏洞名称： i18n JSON - File Exposure

漏洞类型： 信息泄露

漏洞等级： 中危

漏洞描述： i18n JSON文件暴露漏洞涉及的是i18n JSON文件的不当访问问题。i18n JSON文件通常用于客户端国际化，包含语言特定的键、应用程序字符串或内部配置。这些文件如果被不当暴露，可能会泄露敏感的内部标识符或支持对应用程序行为的未经授权侦察。

受影响的产品：i18n JSON文件广泛用于支持国际化的Web应用程序中，这些应用程序需要根据用户的语言偏好动态显示内容。i18n JSON文件通常包含应用程序的字符串和配置，用于客户端渲染。

漏洞解释：此漏洞属于信息泄露类型，其技术根源在于i18n JSON文件的不当访问控制。攻击者可以通过直接访问i18n.json文件，获取应用程序的内部配置和字符串，这些信息可能被用于进一步的攻击。

影响分析：此漏洞可能导致敏感信息泄露，包括内部标识符和应用程序配置。虽然这种漏洞不直接允许远程代码执行或服务中断，但它可以为攻击者提供有价值的信息，用于后续的攻击活动。攻击者无需认证即可利用此漏洞，且可以自动化地进行探测。

产品名称： i18n JSON

搜索语法： html:”i18n.json”

来源： https://github.com/projectdiscovery/nuclei-templates/blob/1f6952f0b256338db5161fe35c2beb02a5c554de/http%2Fexposures%2Ffiles%2Fi18n-json-file.yaml

类型： projectdiscovery/nuclei-templates:github issues

POC详情

id: i18n-json-file

info:
  name: i18n JSON - File Exposure
  author: DhiyaneshDK
  severity: unknown
  description: |
    Detects the exposure of the `i18n.json` file, which may contain language-specific keys, application strings, or internal configurations intended for client-side internationalization. Unintended access to this file could reveal sensitive internal identifiers or support unauthorized reconnaissance of application behavior.
  reference:
    - https://x.com/wadgamaraldeen/status/1947947662130446838
    - https://www.i18next.com/misc/json-format
  metadata:
    verified: true
    max-request: 1
    shodan-query: html:"i18n.json"
  tags: i18n,exposure

http:
  - method: GET
    path:
      - "{{BaseURL}}/i18n.json"

    matchers-condition: and
    matchers:
      - type: word
        part: body
        words:
          - "{"

      - type: word
        part: content_type
        words:
          - "application/json"

      - type: status
        status:
          - 200