Benmccann

**Nome do software vulnerável e versões afetadas** Versões do SvelteKit anteriores à 2.8.3 **Descrição** Entradas não sanitizadas da URL da solicitação são encaminhadas para `end`, onde são utilizadas para renderizar uma página HTML retornada ao usuário. Isso pode resultar em um ataque de Cross-Site Scripting (XSS). Os arquivos `packages/kit/src/exports/vite/dev/index.js` e `packages/kit/src/exports/vite/utils.js` contêm dados controláveis pelo usuário que, sob condições específicas, podem fluir para páginas no modo de desenvolvimento. O impacto esperado é mínimo ou nulo, pois o desenvolvimento do Vite não está exposto à rede por padrão e um banco de dados de desenvolvimento não deve conter dados confidenciais. **Recomendações** Para versões anteriores à 2.8.3, atualize para a versão 2.8.3 para resolver o problema. Como solução temporária, considere restringir o acesso à função `end` e aos arquivos `packages/kit/src/exports/vite/dev/index.js` e `packages/kit/src/exports/vite/utils.js` para minimizar o risco de exploração. Evite usar dados controláveis pelo usuário na propriedade `url` de `req` em `packages/kit/src/exports/vite/utils.js` até que o problema seja resolvido.