漏洞标题
SvelteKit 开发模式 404 页面存在的跨站脚本攻击 (XSS)
漏洞描述信息
SvelteKit 是一个使用 Svelte 快速开发强大且高性能的 Web 应用程序的框架。漏洞描述如下:“来自请求 URL 的未经验证的输入流入 `end`,并在用于生成返回给用户的 HTML 页面时使用。这可能导致跨站脚本攻击(XSS)。”文件 `packages/kit/src/exports/vite/dev/index.js` 和 `packages/kit/src/exports/vite/utils.js` 均包含受用户控制的数据,这些数据在特定情况下可能会流向开发模式页面。预期的影响很小或几乎没有。默认情况下,Vite 开发环境不对外部网络公开,即使有人能够诱使开发人员对自己执行 XSS 攻击,开发数据库也不应包含任何敏感数据。尽管如此,该问题已在版本 2.8.3 中得到解决,建议所有用户进行升级。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
漏洞标题
Cross-Site Scripting attack (XSS) on dev mode 404 page in SvelteKit
漏洞描述信息
SvelteKit is a framework for rapidly developing robust, performant web applications using Svelte. "Unsanitized input from *the request URL* flows into `end`, where it is used to render an HTML page returned to the user. This may result in a Cross-Site Scripting attack (XSS)." The files `packages/kit/src/exports/vite/dev/index.js` and `packages/kit/src/exports/vite/utils.js` both contain user controllable data which under specific conditions may flow to dev mode pages. There is little to no expected impact. The Vite development is not exposed to the network by default and even if someone were able to trick a developer into executing an XSS against themselves, a development database should not have any sensitive data. None the less this issue has been addressed in version 2.8.3 and all users are advised to upgrade.
CVSS信息
N/A
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
漏洞标题
SvelteKit 跨站脚本漏洞
漏洞描述信息
SvelteKit是Svelte开源的一套Web 开发框架。 SvelteKit 2.8.3之前版本存在跨站脚本漏洞,该漏洞源于存在输入数据未净化和特定文件中用户可控数据流向问题,从而导致容易受到跨站脚本攻击。
CVSS信息
N/A
漏洞类别
跨站脚本
