一、 漏洞 CVE-2024-53262 基础信息
漏洞标题
SvelteKit错误页面中包含未转义的错误消息
来源:AIGC 神龙大模型
漏洞描述信息
SvelteKit 是一个基于 Svelte 的框架,用于快速开发健壮且高性能的 Web 应用程序。该框架中的静态错误模板 error.html 包含了无需对内容进行转义处理就直接替换的占位符。error.html 是在其他所有操作都失败时显示的页面。它可能包含以下占位符:%sveltekit.status% — HTTP 状态码,以及 %sveltekit.error.message% — 错误消息。如果应用程序显式创建了一个包含用户可控内容的消息的错误,就可能导致注入攻击。只有那些在 `Error` 消息中使用了用户提供的输入的应用程序才可能存在漏洞,因此绝大多数应用程序不会受到影响。此问题已在版本 2.8.3 中得到解决,所有用户都应升级。目前尚无该漏洞的缓解措施。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N
来源:AIGC 神龙大模型
漏洞类别
输出中的特殊元素转义处理不恰当(注入)
来源:AIGC 神龙大模型
漏洞标题
Unescaped error message included on error page in SvelteKit
来源:美国国家漏洞数据库 NVD
漏洞描述信息
SvelteKit is a framework for rapidly developing robust, performant web applications using Svelte. The static error.html template for errors contains placeholders that are replaced without escaping the content first. error.html is the page that is rendered when everything else fails. It can contain the following placeholders: %sveltekit.status% — the HTTP status, and %sveltekit.error.message% — the error message. This leads to possible injection if an app explicitly creates an error with a message that contains user controlled content. Only applications where user provided input is used in the `Error` message will be vulnerable, so the vast majority of applications will not be vulnerable This issue has been addressed in version 2.8.3 and all users are advised to upgrade. There are no known workarounds for this vulnerability.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
漏洞标题
SvelteKit 跨站脚本漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
SvelteKit是Svelte开源的一套Web 开发框架。 SvelteKit 2.8.3之前版本存在跨站脚本漏洞,该漏洞源于在替换占位符时内容未先进行转义处理,导致注入漏洞出现。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
跨站脚本
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-53262 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-53262 的情报信息