CVE-2025-32388

Nome do Software Vulnerável e Versões Afetadas Versões do SvelteKit anteriores à 2.20.6

Descrição O problema origina-se de nomes de parâmetros de busca não sanitizados, resultando em uma vulnerabilidade de XSS. Isso ocorre ao iterar sobre todas as entradas de event.url.searchParams dentro de uma função de load do servidor. Atacantes podem explorar isso criando uma URL maliciosa e induzindo um usuário a clicar nela.

Recomendações Para versões anteriores à 2.20.6, atualize para a versão 2.20.6 para resolver o problema. Como medida de contorno temporária, considere evitar a iteração sobre todas as entradas de event.url.searchParams dentro de funções de load do servidor até que a atualização seja aplicada.