SvelteKit 的错误页面上包含未转义的错误消息(CVE-2024-53262)
CVE编号
CVE-2024-53262
利用情况
暂无
补丁情况
N/A
披露时间
2024-11-26
漏洞描述
SvelteKit是一个使用Svelte快速开发强大、高性能Web应用程序的框架。用于错误的静态error.html模板包含占位符,这些占位符在替换内容之前不会被转义。error.html是在所有其他内容都失败时呈现的页面。它可以包含以下占位符:%sveltekit.status% - HTTP状态,以及%sveltekit.error.message% - 错误消息。这可能导致注入,如果应用程序明确创建一个包含用户控制内容的消息作为错误,那么就会存在漏洞。只有在使用用户提供的输入作为“错误”消息的应用程序才会受到攻击,因此绝大多数应用程序不会受到攻击。这个问题已在版本2.8.3中得到解决,建议所有用户进行升级。对于此漏洞,尚无已知的解决方案。
解决建议
"将组件 @sveltejs/kit 升级至 2.8.3 及以上版本"
文章评论