CVE-2026-22803

Nome do Software Vulnerável e Versões Afetadas Versões do SvelteKit de 2.49.0 a 2.49.4

Descrição A função remota de formulário experimental do SvelteKit utiliza um formato de dados binários para os dados de formulário enviados. Um payload manipulado pode desencadear alocação excessiva de memória no servidor, levando a uma negação de serviço por exaustão de memória. O problema surge porque o SvelteKit tenta ler o corpo da requisição com base em um comprimento especificado nos bytes iniciais da requisição. Um atacante pode explorar isso enviando um payload pequeno com um comprimento de dados especificado como grande e, em seguida, mantendo a conexão suspensa. Isso força a criação de um buffer de array grande, potencialmente esgotando a memória disponível. A vulnerabilidade impacta aplicações SvelteKit com o recurso experimental.remoteFunctions habilitado e que expõem um endpoint de Formulário Remoto acessível. Um atacante não autenticado pode abrir conexões repetidamente, enviar um cabeçalho mínimo com um comprimento de dados grande e interromper o envio do corpo para desencadear grandes alocações de memória.

Recomendações Atualize para a versão 2.49.5 ou posterior do SvelteKit.