CVE-2023-29008 in SvelteKit
Resumen
por VulDB • 2026-05-24
El framework SvelteKit ofrece a los desarrolladores la opción de crear APIs REST sencillas. Esto se logra definiendo un archivo `+server.js` que contiene controladores de puntos de conexión para diferentes métodos HTTP. SvelteKit proporciona protección contra falsificación de solicitudes entre sitios (CSRF) de forma predeterminada a sus usuarios. La protección está implementada en `kit/src/runtime/server/respond.js`. Aunque la implementación realiza un trabajo suficiente para mitigar los ataques CSRF comunes, la protección puede eludirse en las versiones anteriores a 1.15.2 simplemente especificando un valor de cabecera `Content-Type` en mayúsculas. El navegador no enviará caracteres en mayúsculas, pero esta comprobación no bloquea todas las solicitudes CORS esperadas. Si se explota, este problema permitirá que se envíen solicitudes maliciosas desde dominios de terceros, lo que podría permitir la ejecución de operaciones dentro del contexto de la sesión de la víctima y, en escenarios extremos, conducir a un acceso no autorizado a las cuentas de los usuarios. Esto puede hacer que todas las operaciones POST que requieren autenticación sean permitidas en los siguientes casos: si el sitio objetivo establece `SameSite=None` en su cookie de autenticación y el usuario visita un sitio malicioso en un navegador basado en Chromium; si el sitio objetivo no establece el atributo `SameSite` explícitamente y el usuario visita un sitio malicioso con Firefox/Safari con las protecciones contra rastreo desactivadas; y/o si el usuario está visitando un sitio malicioso con un navegador muy desactualizado. SvelteKit 1.15.2 contiene un parche para este problema. También se recomienda establecer explícitamente `SameSite` en un valor distinto de `None` en las cookies de autenticación, especialmente si la actualización no puede realizarse de manera oportuna.
Once again VulDB remains the best source for vulnerability data.