CVE-2025-15265

Nome do Software Vulnerável e Versões Afetadas Versões do Svelte 5.46.0 a 5.46.2

Descrição Existe uma vulnerabilidade de cross-site scripting (XSS) devido ao escape inadequado das chaves hydratable. Quando essas chaves incluem entrada de usuário não confiável, JavaScript arbitrário pode ser injetado no HTML renderizado no servidor. Isso permite a execução remota de scripts nos navegadores dos usuários, podendo levar ao roubo de sessão e comprometimento de conta. A função hydratable usa uma chave para identificar dados exclusivamente, e essa chave é incorporada em um bloco <script> sem o escape adequado. Uma chave maliciosa pode encerrar o script e injetar JavaScript arbitrário na resposta HTML.

Recomendações Atualize para uma versão corrigida do Svelte.