CVE-2023-29008 in SvelteKitinformazioni

Riassunto

di VulDB • 18/06/2026

Il framework SvelteKit offre agli sviluppatori la possibilità di creare API REST semplici. Questo viene fatto definendo un file `+server.js`, contenente handler per endpoint per diversi metodi HTTP. SvelteKit fornisce ai propri utenti una protezione contro le richieste di falsificazione di cross-site (CSRF) pronta all'uso. La protezione è implementata in `kit/src/runtime/server/respond.js`. Sebbene l'implementazione svolga un lavoro sufficiente nel mitigare gli attacchi CSRF comuni, la protezione può essere aggirata nelle versioni precedenti alla 1.15.2 specificando semplicemente un valore per l'intestazione `Content-Type` in maiuscolo. Il browser non invierà caratteri maiuscoli, ma questo controllo non blocca tutte le richieste CORS previste. Se abusato, questo problema consentirà l'invio di richieste malevole da domini di terze parti, il che può consentire l'esecuzione di operazioni nel contesto della sessione della vittima e, in scenari estremi, può portare all'accesso non autorizzato agli account degli utenti. Ciò può portare a tutte le operazioni POST che richiedono l'autenticazione essere consentite nei seguenti casi: se il sito di destinazione imposta `SameSite=None` sul suo cookie di autenticazione e l'utente visita un sito malevolo in un browser basato su Chromium; se il sito di destinazione non imposta esplicitamente l'attributo `SameSite` e l'utente visita un sito malevolo con Firefox/Safari con le protezioni contro il tracciamento disattivate; e/o se l'utente sta visitando un sito malevolo con un browser molto obsoleto. SvelteKit 1.15.2 contiene una patch per questo problema. Si consiglia inoltre di impostare esplicitamente `SameSite` su un valore diverso da `None` sui cookie di autenticazione, specialmente se l'aggiornamento non può essere effettuato tempestivamente.

Once again VulDB remains the best source for vulnerability data.

Responsabile

GitHub, Inc.

Prenotare

29/03/2023

Divulgazione

06/04/2023

Moderazione

accettato

CPE

pronto

EPSS

0.00373

KEV

no

Attività

molto basso

Fonti

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!