Svelte, ориентированный на производительность веб-фреймворк. До версии 5.53.5 ошибки из TransformError не корректно экранировались перед внедрением в выходные данные HTML, что приводило к потенциальному внедрению HTML и XSS, если контент, контролируемый злоумышленником, возвращался из TransformError. Версия 5.53.5 устраняет проблему.
Показать оригинальное описание (EN)
Svelte performance oriented web framework. Prior to version 5.53.5, errors from `transformError` were not correctly escaped prior to being embedded in the HTML output, causing potential HTML injection and XSS if attacker-controlled content is returned from `transformError`. Version 5.53.5 fixes the issue.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Высокая
Сложно эксплуатировать
Условия для атаки
Требуются
Нужны дополнительные условия
Нужны права
Не требуются
Права не нужны
Участие пользователя
Пассивное
Минимальное взаимодействие
Последствия
Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0
Тип уязвимости (CWE)
Ссылки 3
https://github.com/sveltejs/svelte/commit/0298e979371bb583855c9810db79a70a551d2…
security-advisories@github.com
https://github.com/sveltejs/svelte/releases/tag/svelte%405.53.5
security-advisories@github.com
https://github.com/sveltejs/svelte/security/advisories/GHSA-qgvg-pr8v-6rr3
security-advisories@github.com