Dominikg

**Nome do software vulnerável e versões afetadas** Versões do SvelteKit anteriores à 2.8.3 **Descrição** O modelo estático error.html para erros no SvelteKit contém marcadores de posição que são substituídos sem que o conteúdo seja previamente escapado. Isso leva a uma possível injeção de código caso um aplicativo crie explicitamente um erro com uma mensagem que contenha conteúdo controlado pelo usuário. A página error.html pode conter placeholders como %sveltekit.status% para o status HTTP e %sveltekit.error.message% para a mensagem de erro. Apenas aplicativos nos quais a entrada fornecida pelo usuário é usada na mensagem `Error` estarão vulneráveis. **Recomendações** Para versões anteriores à 2.8.3, atualize para a versão 2.8.3 ou posterior para resolver este problema. Como solução temporária, considere escapar a string da mensagem na função que cria a saída HTML para melhorar a segurança de aplicativos que utilizam erros personalizados no servidor. Restrinja o uso de entradas fornecidas pelo usuário na mensagem `Error` para minimizar o risco de exploração.