Katalog CVE

CVE-2026-42570

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.38%

Percentyl 30 - wyżej niż 30% wszystkich znanych CVE

Streszczenie

Biblioteka Svelte devalue w wersjach od 5.6.3 do 5.8.0 zawiera podatność polegającą na nadmiernym zużyciu pamięci podczas deserializacji rzadkich tablic. Problem wynika z osobliwości silników JavaScript, które mogą alokować więcej pamięci niż potrzeba.

Ocena ryzyka

Atakujący może wysłać specjalnie spreparowany łańcuch znaków, który podczas deserializacji spowoduje nadmierne zużycie pamięci, prowadząc do wyczerpania zasobów i potencjalnej odmowy usługi (DoS).

Rekomendacja

Należy niezwłocznie zaktualizować bibliotekę Svelte devalue do wersji 5.8.1 lub nowszej, która zawiera poprawkę eliminującą podatność.

Oryginalny opis (angielski, źródło NVD)

Svelte devalue is a JavaScript library that serializes values into strings when JSON.stringify isn't sufficient for the job. From version 5.6.3 to before version 5.8.1, devalue.parse could, due to quirks in some JavaScript engines, be convinced to allocate much more memory than was needed when deserializing sparse arrays, leading to excessive memory consumption. This issue has been patched in version 5.8.1.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS