Svelte, ориентированный на производительность веб-фреймворк. До версии 5.53.5 содержимое `bind:innerText` и `bind:textContent` в элементах `contenteditable` не экранировалось должным образом. Это может включить внедрение HTML и межсайтовый скриптинг (XSS) при отображении ненадежных данных в качестве начального значения привязки на сервере.
Версия 5.53.5 устраняет проблему.
Показать оригинальное описание (EN)
Svelte performance oriented web framework. Prior to version 5.53.5, the contents of `bind:innerText` and `bind:textContent` on `contenteditable` elements were not properly escaped. This could enable HTML injection and Cross-Site Scripting (XSS) if rendering untrusted data as the binding's initial value on the server. Version 5.53.5 fixes the issue.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Высокая
Сложно эксплуатировать
Условия для атаки
Требуются
Нужны дополнительные условия
Нужны права
Не требуются
Права не нужны
Участие пользователя
Пассивное
Минимальное взаимодействие
Последствия
Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0
Тип уязвимости (CWE)
Ссылки 3
https://github.com/sveltejs/svelte/commit/0df5abcae223058ceb95491470372065fb879…
security-advisories@github.com
https://github.com/sveltejs/svelte/releases/tag/svelte%405.53.5
security-advisories@github.com
https://github.com/sveltejs/svelte/security/advisories/GHSA-phwv-c562-gvmh
security-advisories@github.com