CVEs Affecting the Svelte Ecosystem
4 months ago
- #Svelte
- #vulnerabilities
- #security
- Svelte生态软件包(devalue、svelte、@sveltejs/kit和@sveltejs/adapter-node)发布5个漏洞补丁
- 请升级至安全版本:devalue (5.6.2)、svelte (5.46.4)、@sveltejs/kit (2.49.5)、@sveltejs/adapter-node (5.5.1)
- CVE-2026-22775:devalue.parse函数因内存/CPU耗尽导致拒绝服务,影响devalue 5.1.0至5.6.1版本
- CVE-2026-22774:类似devalue.parse拒绝服务漏洞,影响5.3.0至5.6.1版本
- CVE-2026-22803:SvelteKit远程函数内存放大拒绝服务漏洞,影响2.49.0至2.49.4版本
- CVE-2025-67647:预渲染功能在特定条件下可能导致拒绝服务及潜在SSRF,影响@sveltejs/kit和@sveltejs/adapter-node
- CVE-2025-15265:svelte 2.46.0至2.46.3版本中hydratable特性导致的跨站脚本漏洞
- 鼓励通过仓库Security标签页私下报告漏洞
- 感谢社区及安全研究人员负责任的漏洞披露与合作