CVE-2025-32388

CVSS v3 5.4 MEDIUM

5.4^/10

CVSS v3 : MEDIUM

V3 Legend

Vector :

Exploitability : 2.8 / Impact : 2.5

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required NONE

User Interaction REQUIRED

Confidentiality Impact LOW

Integrity Impact LOW

Availability Impact NONE

Scope UNCHANGED

velteKit is a framework for rapidly developing robust, performant web applications using Svelte. Prior to 2.20.6 , unsanitized search param names cause XSS vulnerability. You are affected if you iterate over all entries of event.url.searchParams inside a server load function. Attackers can exploit it by crafting a malicious URL and getting a user to click a link with said URL. This vulnerability is fixed in 2.20.6.

References

Link	Resource
https://github.com/sveltejs/kit/commit/d3300c6a67908590266c363dba7b0835d9a194cf
https://github.com/sveltejs/kit/releases/tag/%40sveltejs%2Fkit%402.20.6
https://github.com/sveltejs/kit/security/advisories/GHSA-6q87-84jw-cjhp

Configurations

No configuration.

History

16 Apr 2025, 13:25

Type	Values Removed	Values Added
Summary		(es) SvelteKit es un framework para desarrollar rápidamente aplicaciones web robustas y de alto rendimiento con Svelte. Antes de la versión 2.20.6, los nombres de parámetros de búsqueda sin sanear causaban una vulnerabilidad XSS. Se ve afectado si se itera sobre todas las entradas de event.url.searchParams dentro de una función de carga del servidor. Los atacantes pueden explotar esta vulnerabilidad manipulando una URL maliciosa y haciendo que el usuario haga clic en un enlace con dicha URL. Esta vulnerabilidad se corrigió en la versión 2.20.6.

15 Apr 2025, 23:15

Type	Values Removed	Values Added
New CVE

Information

Published : 2025-04-15 23:15

Updated : 2025-04-16 13:25

NVD link : CVE-2025-32388

Mitre link : CVE-2025-32388

CVE.ORG link : CVE-2025-32388

JSON object : View

Products Affected

No product.

CWE

CWE-79

Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')

5.4 /10