CVE-2024-53262

SvelteKit is a framework for rapidly developing robust, performant web applications using Svelte. The static error.html template for errors contains placeholders that are replaced without escaping the content first. error.html is the page that is rendered when everything else fails. It can contain the following placeholders: %sveltekit.status% — the HTTP status, and %sveltekit.error.message% — the error message. This leads to possible injection if an app explicitly creates an error with a message that contains user controlled content. Only applications where user provided input is used in the `Error` message will be vulnerable, so the vast majority of applications will not be vulnerable This issue has been addressed in version 2.8.3 and all users are advised to upgrade. There are no known workarounds for this vulnerability.

CVSS v3 5.4 MEDIUM

5.4^/10

CVSS v3 : MEDIUM

V3 Legend

Vector :

Exploitability : 2.3 / Impact : 2.7

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required LOW

User Interaction REQUIRED

Confidentiality Impact LOW

Integrity Impact LOW

Availability Impact NONE

Scope CHANGED

References

Link	Resource
https://github.com/sveltejs/kit/commit/134e36343ef57ed7e6e2b3bb9e7f05ad37865794	Patch
https://github.com/sveltejs/kit/security/advisories/GHSA-mh2x-fcqh-fmqv	Third Party Advisory
https://kit.svelte.dev/docs/errors	Issue Tracking

Configurations

Configuration 1 (hide)

cpe:2.3:a:svelte:sveltekit:*:*:*:*:*:node.js:*:*

History

28 Aug 2025, 14:39

Type	Values Removed	Values Added
References	~~() https://github.com/sveltejs/kit/commit/134e36343ef57ed7e6e2b3bb9e7f05ad37865794 -~~	() https://github.com/sveltejs/kit/commit/134e36343ef57ed7e6e2b3bb9e7f05ad37865794 - Patch
References	~~() https://github.com/sveltejs/kit/security/advisories/GHSA-mh2x-fcqh-fmqv -~~	() https://github.com/sveltejs/kit/security/advisories/GHSA-mh2x-fcqh-fmqv - Third Party Advisory
References	~~() https://kit.svelte.dev/docs/errors -~~	() https://kit.svelte.dev/docs/errors - Issue Tracking
First Time		Svelte Svelte sveltekit
CPE		cpe:2.3:a:svelte:sveltekit::::::node.js::*
CVSS	v2 : ~~unknown~~ v3 : ~~unknown~~	v2 : unknown v3 : 5.4
Summary		(es) SvelteKit es un framework para desarrollar rápidamente aplicaciones web robustas y de alto rendimiento utilizando Svelte. La plantilla estática error.html para errores contiene marcadores de posición que se reemplazan sin escapar el contenido primero. error.html es la página que se representa cuando todo lo demás falla. Puede contener los siguientes marcadores de posición: %sveltekit.status%: el estado HTTP y %sveltekit.error.message%: el mensaje de error. Esto conduce a una posible inyección si una aplicación crea explícitamente un error con un mensaje que contiene contenido controlado por el usuario. Solo las aplicaciones en las que se utiliza la entrada proporcionada por el usuario en el mensaje `Error` serán vulnerables, por lo que la gran mayoría de las aplicaciones no serán vulnerables. Este problema se ha solucionado en la versión 2.8.3 y se recomienda a todos los usuarios que actualicen. No existen workarounds para esta vulnerabilidad.

25 Nov 2024, 20:15

Type	Values Removed	Values Added
New CVE

Information

Published : 2024-11-25 20:15

Updated : 2025-08-28 14:39

NVD link : CVE-2024-53262

Mitre link : CVE-2024-53262

CVE.ORG link : CVE-2024-53262

JSON object : View

Products Affected

svelte

sveltekit

CWE

CWE-79

Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')

5.4 /10