CVE-2024-53261

Versões do SvelteKit anteriores à 2.8.3

Entradas não sanitizadas da URL da solicitação são encaminhadas para end, onde são utilizadas para renderizar uma página HTML retornada ao usuário. Isso pode resultar em um ataque de Cross-Site Scripting (XSS). Os arquivos packages/kit/src/exports/vite/dev/index.js e packages/kit/src/exports/vite/utils.js contêm dados controláveis pelo usuário que, sob condições específicas, podem fluir para páginas no modo de desenvolvimento. O impacto esperado é mínimo ou nulo, pois o desenvolvimento do Vite não está exposto à rede por padrão e um banco de dados de desenvolvimento não deve conter dados confidenciais.

Para versões anteriores à 2.8.3, atualize para a versão 2.8.3 para resolver o problema. Como solução temporária, considere restringir o acesso à função end e aos arquivos packages/kit/src/exports/vite/dev/index.js e packages/kit/src/exports/vite/utils.js para minimizar o risco de exploração. Evite usar dados controláveis pelo usuário na propriedade url de req em packages/kit/src/exports/vite/utils.js até que o problema seja resolvido.