CVE-2025-67647

Vulnérabilité dans SvelteKit : Déni de Service et Falsification de Requête Côté Serveur

Une faille de sécurité, identifiée sous la référence CVE-2025-67647, affecte le framework SvelteKit, un outil populaire pour le développement d’applications web. Cette vulnérabilité peut entraîner des situations de déni de service (DoS) et, dans certaines configurations spécifiques, une falsification de requête côté serveur (SSRF).

Points Clés :

• Produits Affectés : Packages @sveltejs/kit et @sveltejs/adapter-node au sein de l’écosystème Svelte.
• Conditions d’Exploitation : La sévérité et le type de vulnérabilité dépendent des versions de @sveltejs/kit utilisées, de la présence de routes prérendues dans l’application, et de la configuration d’adapter-node (notamment la présence d’une variable d’environnement ORIGIN ou d’une validation des en-têtes Host par un proxy inverse).
• Impact : Peut aller d’un simple déni de service à une compromission plus sérieuse avec la possibilité d’usurpation de requêtes côté serveur.
• NVD Status : L’analyse par la base de données NVD est en attente.
• Score CVSS 4.0 : Score de base de 8.4, indiquant une vulnérabilité critique.

Vulnérabilités identifiées (avec CVE) :

• CVE-2025-67647 : Affecte @sveltejs/kit et @sveltejs/adapter-node.

  • Déni de Service (DoS) : Présent dans les versions de @sveltejs/kit 2.44.0 à 2.49.4, si l’application possède au moins une route prérendue.
  • Déni de Service (DoS) et Falsification de Requête Côté Serveur (SSRF) : Présent dans les versions de @sveltejs/kit 2.19.0 à 2.49.4, si l’application a une route prérendue et utilise @sveltejs/adapter-node sans variable ORIGIN configurée et sans validation des en-têtes Host par un proxy inverse.

Recommandations :

• Mettre à jour @sveltejs/kit vers la version 2.49.5 ou ultérieure.
• Pour les utilisateurs utilisant @sveltejs/adapter-node, s’assurer que la variable d’environnement ORIGIN est correctement configurée, ou qu’un proxy inverse avec validation des en-têtes Host est déployé.

Source