CVE-2026-42570
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 30 - wyżej niż 30% wszystkich znanych CVE
Streszczenie
Biblioteka Svelte devalue w wersjach od 5.6.3 do 5.8.0 zawiera podatność polegającą na nadmiernym zużyciu pamięci podczas deserializacji rzadkich tablic. Problem wynika z osobliwości silników JavaScript, które mogą alokować więcej pamięci niż potrzeba.
Ocena ryzyka
Atakujący może wysłać specjalnie spreparowany łańcuch znaków, który podczas deserializacji spowoduje nadmierne zużycie pamięci, prowadząc do wyczerpania zasobów i potencjalnej odmowy usługi (DoS).
Rekomendacja
Należy niezwłocznie zaktualizować bibliotekę Svelte devalue do wersji 5.8.1 lub nowszej, która zawiera poprawkę eliminującą podatność.
Oryginalny opis (angielski, źródło NVD)
Svelte devalue is a JavaScript library that serializes values into strings when JSON.stringify isn't sufficient for the job. From version 5.6.3 to before version 5.8.1, devalue.parse could, due to quirks in some JavaScript engines, be convinced to allocate much more memory than was needed when deserializing sparse arrays, leading to excessive memory consumption. This issue has been patched in version 5.8.1.

