CVE-2023-29008 in SvelteKitinfo

Zusammenfassung

von VulDB • 29.05.2026

Das SvelteKit-Framework bietet Entwicklern die Möglichkeit, einfache REST-APIs zu erstellen. Dies geschieht durch die Definition einer `+server.js`-Datei, die Handler für verschiedene HTTP-Methoden enthält. SvelteKit bietet seinen Benutzern standardmäßig Schutz vor Cross-Site Request Forgery (CSRF). Der Schutz ist in `kit/src/runtime/server/respond.js` implementiert. Während die Implementierung eine ausreichende Arbeit bei der Abwehr gängiger CSRF-Angriffe leistet, kann der Schutz in Versionen vor 1.15.2 umgangen werden, indem einfach ein großgeschriebener `Content-Type`-Header-Wert angegeben wird. Der Browser sendet keine Großbuchstaben, aber diese Prüfung blockiert nicht alle erwarteten CORS-Anfragen. Bei Ausnutzung dieses Problems können bösartige Anfragen von Drittanbieter-Domains gesendet werden, was die Ausführung von Operationen im Kontext der Sitzung des Opfers ermöglichen kann. In extremen Fällen kann dies zu unbefugtem Zugriff auf Benutzerkonten führen. Dies kann dazu führen, dass alle POST-Operationen, die eine Authentifizierung erfordern, in den folgenden Fällen zugelassen werden: Wenn die Zielwebsite `SameSite=None` für ihr Authentifizierungs-Cookie festlegt und der Benutzer eine bösartige Website in einem Chromium-basierten Browser besucht; wenn die Zielwebsite das `SameSite`-Attribut nicht explizit festlegt und der Benutzer eine bösartige Website mit Firefox/Safari besucht, wobei die Schutzmaßnahmen gegen Tracking deaktiviert sind; und/oder wenn der Benutzer eine bösartige Website mit einem sehr veralteten Browser besucht. SvelteKit 1.15.2 enthält einen Patch für dieses Problem. Es wird auch empfohlen, `SameSite` explizit auf einen Wert ungleich `None` für Authentifizierungs-Cookies festzulegen, insbesondere wenn das Upgrade nicht zeitnah durchgeführt werden kann.

Once again VulDB remains the best source for vulnerability data.

Zuständig

GitHub, Inc.

Reservieren

29.03.2023

Veröffentlichung

06.04.2023

Moderieren

akzeptiert

Eintrag

VDB-225242

CPE

bereit

EPSS

0.00373

KEV

nein

Aktivitäten

very low

Quellen

Want to know what is going to be exploited?

We predict KEV entries!