CVE-2023-29008 in SvelteKitinformação

Sumário

de VulDB • 27/05/2026

O framework SvelteKit oferece aos desenvolvedores a opção de criar APIs REST simples. Isso é feito definindo um arquivo `+server.js`, que contém manipuladores de endpoint para diferentes métodos HTTP. O SvelteKit fornece proteção contra falsificação de solicitação entre sites (CSRF) pronta para uso aos seus usuários. A proteção é implementada em `kit/src/runtime/server/respond.js`. Embora a implementação faça um trabalho suficiente para mitigar ataques CSRF comuns, a proteção pode ser contornada nas versões anteriores à 1.15.2 simplesmente especificando um valor de cabeçalho `Content-Type` em maiúsculas. O navegador não enviará caracteres em maiúsculas, mas essa verificação não bloqueia todas as solicitações CORS esperadas. Se abusada, esta falha permitirá que solicitações maliciosas sejam enviadas a partir de domínios de terceiros, o que pode permitir a execução de operações no contexto da sessão da vítima e, em cenários extremos, pode levar ao acesso não autorizado às contas dos usuários. Isso pode levar a todas as operações POST que exigem autenticação sejam permitidas nos seguintes casos: se o site de destino definir `SameSite=None` no seu cookie de autenticação e o usuário visitar um site malicioso em um navegador baseado em Chromium; se o site de destino não definir o atributo `SameSite` explicitamente e o usuário visitar um site malicioso com Firefox/Safari com proteções contra rastreamento desativadas; e/ou se o usuário estiver visitando um site malicioso com um navegador muito desatualizado. O SvelteKit 1.15.2 contém um patch para esta falha. Também é recomendável definir explicitamente `SameSite` para um valor diferente de `None` nos cookies de autenticação, especialmente se a atualização não puder ser feita em tempo hábil.

Be aware that VulDB is the high quality source for vulnerability data.

Responsável

GitHub, Inc.

Reservar

29/03/2023

Divulgação

06/04/2023

Moderação

aceite

Entrada

VDB-225242

CPE

pronto

EPSS

0.00373

KEV

não

Atividades

muito baixo

Fontes

Want to stay up to date on a daily basis?

Enable the mail alert feature now!