Vulnerabilidad en google-translate-api-browser (CVE-2023-48711)

google-translate-api-browser es un paquete npm que interactúa con la API web del traductor de Google. Una vulnerabilidad de Server-Side Request Forgery (SSRF) está presente en aplicaciones que utilizan el paquete `google-translate-api-browser` y exponen `translateOptions` al usuario final. Un atacante puede configurar un "tld" malicioso, lo que hace que la aplicación devuelva URL no seguras que apunten a recursos locales. El campo `translateOptions.tld` no se sanitiza adecuadamente antes de colocarlo en la URL del traductor de Google. Esto puede permitir que un atacante con control sobre `translateOptions` establezca el `tld` en un payload como `@127.0.0.1`. Esto hace que la URL completa se convierta en `https://translate.google.@127.0.0.1/...`, donde `translate.google.` es el nombre de usuario utilizado para conectarse a localhost. Un atacante puede enviar solicitudes dentro de las redes internas y del host local. Si alguna aplicación HTTPS estuviera presente en la red interna con una vulnerabilidad explotable mediante una llamada GET, entonces sería posible explotarla utilizando esta vulnerabilidad. Este problema se solucionó en la versión 4.1.3. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.