SvelteKit 中开发模式 404 页面的跨站点脚本攻击 (XSS) (CVE-2024-53261)
CVE编号
CVE-2024-53261
利用情况
暂无
补丁情况
N/A
披露时间
2024-11-26
漏洞描述
SvelteKit是一个使用Svelte快速开发强大、高性能Web应用程序的框架。未经净化的输入来自请求URL,并流入`end`,用于渲染返回给用户的HTML页面。这可能导致跨站脚本攻击(XSS)。在特定条件下,`packages/kit/src/exports/vite/dev/index.js`和`packages/kit/src/exports/vite/utils.js`这两个文件包含的用户可控数据可能会流向开发模式页面。预期的影响很小。Vite开发默认不暴露在网络中,即使有人能够欺骗开发者对自己执行XSS攻击,开发数据库也不应包含任何敏感数据。尽管如此,这个问题已在版本2.8.3中得到解决,建议所有用户进行升级。
解决建议
"将组件 @sveltejs/kit 升级至 2.8.3 及以上版本"
文章评论