CVE-2024-53262

Versões do SvelteKit anteriores à 2.8.3

O modelo estático error.html para erros no SvelteKit contém marcadores de posição que são substituídos sem que o conteúdo seja previamente escapado. Isso leva a uma possível injeção de código caso um aplicativo crie explicitamente um erro com uma mensagem que contenha conteúdo controlado pelo usuário. A página error.html pode conter placeholders como %sveltekit.status% para o status HTTP e %sveltekit.error.message% para a mensagem de erro. Apenas aplicativos nos quais a entrada fornecida pelo usuário é usada na mensagem Error estarão vulneráveis.

Para versões anteriores à 2.8.3, atualize para a versão 2.8.3 ou posterior para resolver este problema. Como solução temporária, considere escapar a string da mensagem na função que cria a saída HTML para melhorar a segurança de aplicativos que utilizam erros personalizados no servidor. Restrinja o uso de entradas fornecidas pelo usuário na mensagem Error para minimizar o risco de exploração.