Vulnerabilidad en SvelteKit (CVE-2026-27118)

Gravedad CVSS v4.0:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

20/02/2026

Última modificación:

23/02/2026

Descripción

SvelteKit es un framework para desarrollar rápidamente aplicaciones web robustas y de alto rendimiento utilizando Svelte. Las versiones de @sveltejs/adapter-vercel anteriores a la 6.3.2 son vulnerables al envenenamiento de caché. Un parámetro de consulta interno destinado a la Regeneración Estática Incremental (ISR) es accesible en todas las rutas, permitiendo a un atacante causar que respuestas sensibles y específicas del usuario sean almacenadas en caché y servidas a otros usuarios. La explotación exitosa requiere que una víctima visite un enlace controlado por el atacante mientras está autenticada. Las implementaciones existentes están protegidas por el WAF de Vercel, pero los usuarios deben actualizar lo antes posible. Esta vulnerabilidad está corregida en la 6.3.2.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 5.30 MEDIA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Passsive
Confidentiality (VC): Bajo
Integrity (VI): Ninguno
Availability (VA): Ninguno
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0

5.30

Gravedad 4.0

MEDIA

Referencias a soluciones, herramientas e información

https://github.com/sveltejs/kit/security/advisories/GHSA-9pq4-5hcf-288c