CVE-2024-53262

  1. Yack CVE
  2. Vulnerabilities (CVE)
  3. CVE-2024-53262

5.4 /10

CVSS v3 : MEDIUM

V3 Legend

Vector :

Exploitability : 2.3 / Impact : 2.7

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required LOW

User Interaction REQUIRED

Confidentiality Impact LOW

Integrity Impact LOW

Availability Impact NONE

Scope CHANGED

S

velteKit is a framework for rapidly developing robust, performant web applications using Svelte. The static error.html template for errors contains placeholders that are replaced without escaping the content first. error.html is the page that is rendered when everything else fails. It can contain the following placeholders: %sveltekit.status% — the HTTP status, and %sveltekit.error.message% — the error message. This leads to possible injection if an app explicitly creates an error with a message that contains user controlled content. Only applications where user provided input is used in the `Error` message will be vulnerable, so the vast majority of applications will not be vulnerable This issue has been addressed in version 2.8.3 and all users are advised to upgrade. There are no known workarounds for this vulnerability.

References
Link Resource
https://github.com/sveltejs/kit/commit/134e36343ef57ed7e6e2b3bb9e7f05ad37865794 Patch
https://github.com/sveltejs/kit/security/advisories/GHSA-mh2x-fcqh-fmqv Third Party Advisory
https://kit.svelte.dev/docs/errors Issue Tracking
Configurations

Configuration 1 (hide)

cpe:2.3:a:svelte:sveltekit:*:*:*:*:*:node.js:*:*
History

28 Aug 2025, 14:39

Type Values Removed Values Added
Summary
  • (es) SvelteKit es un framework para desarrollar rápidamente aplicaciones web robustas y de alto rendimiento utilizando Svelte. La plantilla estática error.html para errores contiene marcadores de posición que se reemplazan sin escapar el contenido primero. error.html es la página que se representa cuando todo lo demás falla. Puede contener los siguientes marcadores de posición: %sveltekit.status%: el estado HTTP y %sveltekit.error.message%: el mensaje de error. Esto conduce a una posible inyección si una aplicación crea explícitamente un error con un mensaje que contiene contenido controlado por el usuario. Solo las aplicaciones en las que se utiliza la entrada proporcionada por el usuario en el mensaje `Error` serán vulnerables, por lo que la gran mayoría de las aplicaciones no serán vulnerables. Este problema se ha solucionado en la versión 2.8.3 y se recomienda a todos los usuarios que actualicen. No existen workarounds para esta vulnerabilidad.
CPE cpe:2.3:a:svelte:sveltekit:*:*:*:*:*:node.js:*:*
CVSS v2 : unknown
v3 : unknown 		v2 : unknown
v3 : 5.4
First Time Svelte
Svelte sveltekit
References () https://github.com/sveltejs/kit/commit/134e36343ef57ed7e6e2b3bb9e7f05ad37865794 - () https://github.com/sveltejs/kit/commit/134e36343ef57ed7e6e2b3bb9e7f05ad37865794 - Patch
References () https://github.com/sveltejs/kit/security/advisories/GHSA-mh2x-fcqh-fmqv - () https://github.com/sveltejs/kit/security/advisories/GHSA-mh2x-fcqh-fmqv - Third Party Advisory
References () https://kit.svelte.dev/docs/errors - () https://kit.svelte.dev/docs/errors - Issue Tracking

25 Nov 2024, 20:15

Type Values Removed Values Added
New CVE
Information

Published : 2024-11-25 20:15

Updated : 2025-08-28 14:39

NVD link : CVE-2024-53262

Mitre link : CVE-2024-53262

CVE.ORG link : CVE-2024-53262

JSON object : View

Products Affected

svelte

CWE
CWE-79

Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')