发送带有正文的 GET 或 HEAD 请求会使 SvelteKit 崩溃 (CVE-2024-23641)
CVE编号
CVE-2024-23641利用情况
暂无补丁情况
N/A披露时间
2024-01-25漏洞描述
SvelteKit 是一个用于web开发的工具包。在 SvelteKit 2 中,向构建、预览或托管的 SvelteKit 应用程序发送一个包含空请求体({})的 GET 请求会抛出“请求使用 GET/HEAD 方法不能有请求体。”并导致预览/托管崩溃。在出现此问题后,必须手动重新启动应用程序。发送 `TRACE` 请求也会导致应用程序崩溃。预渲染页面和 SvelteKit 1 应用程序不受影响。`@sveltejs/adapter-node` 版本 2.1.2、3.0.3 和 4.0.1,以及 `@sveltejs/kit` 版本 2.4.3 均包含了修复此问题的补丁。解决建议
"将组件 @sveltejs/kit 升级至 2.4.3 及以上版本""将组件 @sveltejs/adapter-node 升级至 2.1.2 及以上版本""将组件 @sveltejs/adapter-node 升级至 3.0.3 及以上版本"
参考链接 |
|
|---|---|
| https://github.com/sveltejs/kit/commit/af34142631c876a7eb62ff81f71e8a3f90dafee9 | |
| https://github.com/sveltejs/kit/security/advisories/GHSA-g5m6-hxpp-fc49 |
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 未更改
- 用户交互 无
- 可用性 高
- 保密性 无
- 完整性 无
| CWE-ID | 漏洞类型 |
| CWE-20 | 输入验证不恰当 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论