Elliott-With-The-Longest-Name-On-Github

**Nome do Software Vulnerável e Versões Afetadas** Versões do Svelte anteriores a 5.53.5 **Descrição** O Svelte, um framework web focado em desempenho, apresentava um problema em que o conteúdo de `bind:innerText` e `bind:textContent` em elementos `contenteditable` não era escapado corretamente em versões anteriores a 5.53.5. Isso poderia permitir injeção de HTML e Cross-Site Scripting (XSS) se dados não confiáveis forem renderizados como valor inicial da ligação no servidor. Os parâmetros vulneráveis são `innerText` e `textContent`. **Recomendações** Atualize para a versão 5.53.5 do Svelte ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** @sveltejs/adapter-vercel versões anteriores a 6.3.2 **Descrição** O @sveltejs/adapter-vercel é um framework utilizado para desenvolver aplicações web com Svelte. Existe uma falha na qual um parâmetro de consulta interno, destinado à Regeneração Estática Incremental (ISR), está acessível em todas as rotas. Isso permite que um atacante manipule o mecanismo de cache, potencialmente entregando respostas sensíveis e específicas do usuário a destinatários não previstos. A exploração requer que um usuário acesse um link malicioso enquanto estiver logado. Embora o Web Application Firewall (WAF) da Vercel ofereça alguma proteção para implantações existentes, a atualização é recomendada. A Regeneração Estática Incremental (ISR) é uma técnica que permite atualizar conteúdo estático após ter construído seu site. **Recomendações** Atualize o @sveltejs/adapter-vercel para a versão 6.3.2 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Svelte anteriores à 5.51.5 **Descrição** Existe uma falha no Svelte na qual, durante a renderização no lado do servidor, o nome da tag fornecido ao componente `<svelte:element this={tag}>` não é validado ou sanitizado antes de ser incluído na saída HTML. Isso pode resultar em injeção de HTML se a string `tag` contiver caracteres maliciosos. A renderização no lado do cliente não é impactada por este problema. O componente vulnerável é `<svelte:element this={tag}>`. A variável vulnerável é `tag`. **Recomendações** Atualize para a versão 5.51.5 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Svelte versões 5.39.3 a 5.51.4 **Descrição** O Svelte é suscetível a uma falha em que, sob condições específicas, a renderização do lado do servidor de um elemento `<option>` não escapa adequadamente seu conteúdo. Isso pode levar a uma possível injeção de HTML na saída renderizada do lado do servidor. A renderização do lado do cliente não é afetada por este problema. **Recomendações** Atualize para a versão 5.51.5 ou posterior.

Nome do Software Vulnerável e Versões Afetadas Versões do Svelte anteriores a 5.51.5 Descrição O Svelte é suscetível a cross-site scripting (XSS) durante a renderização no lado do servidor. O uso da sintaxe spread com dados não confiáveis pode levar à inclusão de propriedades de manipuladores de eventos no HTML gerado. Um atacante pode injetar manipuladores de eventos maliciosos no HTML renderizado se um aplicativo espalhar dados controlados pelo usuário ou externos como atributos de elementos, resultando na execução de código no navegador da vítima. A vulnerabilidade ocorre ao espalhar dados como atributos de elementos durante a renderização no lado do servidor. Recomendações Atualize para a versão 5.51.5 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Svelte anteriores a 5.51.5 **Descrição** O Svelte é um framework web focado em desempenho. Na renderização do lado do servidor, o espalhamento de atributos em elementos (por exemplo, `<div {...attrs}>`) enumera propriedades herdadas da cadeia de protótipos do objeto em vez de apenas as propriedades próprias. Se o Object.prototype tiver sido poluído — uma condição fora do controle do Svelte —, isso pode resultar em atributos inesperados na saída da renderização do lado do servidor ou causar erros durante a renderização do lado do servidor. A renderização do lado do cliente não é afetada. **Recomendações** Atualize para a versão 5.51.5 ou posterior.