Svelte ekibi, devalue, svelte, @sveltejs/kit ve @sveltejs/adapter-node paketlerini etkileyen beş güvenlik açığı (CVE) için yamalar yayınladığını duyurdu. Bu güvenlik açıkları, özellikle kullanıcı kontrollü girdilerin işlenmesi veya SvelteKit'in deneysel uzak fonksiyonlar özelliği kullanılırken sistemlerin bellek veya CPU tükenmesi yoluyla hizmet reddi (DoS) saldırılarına maruz kalmasına neden olabiliyor. Kullanıcıların, potansiyel riskleri önlemek adına devalue'u 5.6.2, svelte'i 5.46.4, @sveltejs/kit'i 2.49.5 ve @sveltejs/adapter-node'u 5.5.1 sürümlerine acilen yükseltmeleri gerekmektedir. Bağımlılıkları olan paketler (svelte ve @sveltejs/kit gibi) zaten güncellenmiş bağımlılıkları içermektedir.
Yayınlanan CVE'ler arasında, devalue.parse fonksiyonundaki bellek/CPU tükenmesi kaynaklı DoS saldırıları (CVE-2026-22775 ve CVE-2026-22774) ve SvelteKit'in uzak fonksiyonlarındaki ikili form deserializer'ında bellek yükseltme DoS'u (CVE-2026-22803) bulunmaktadır. Svelte ekibi, bu güvenlik açıklarını sorumlu bir şekilde bildiren güvenlik araştırmacılarına ve düzeltmelerin yayınlanmasında yardımcı olan Vercel güvenlik ekibine teşekkür etti. Son haftalarda web geliştirme ekosistemindeki popüler araçları etkileyen benzer güvenlik açıklarının artmasıyla birlikte, topluluğun son kullanıcıları güvende tutmak için bir araya gelmesi teşvik edici bulunmuştur.
Svelte ekibi, gelecekteki hataları geliştirme ve inceleme aşamalarında yakalamak için süreçlere yatırım yapacağını belirtti. Ayrıca, Svelte ekibi tarafından bakımı yapılan bir pakette bir güvenlik açığı keşfedildiğini düşünen geliştiricileri, ilgili depodaki (veya emin değillerse Svelte deposundaki) Güvenlik sekmesi aracılığıyla özel olarak bildirmeye çağırdı. Bu proaktif yaklaşım, Svelte ekosisteminin güvenliğini sürekli olarak artırmayı hedeflemektedir.
Svelte ekosistemindeki kritik güvenlik açıkları, geliştiricilerin uygulamalarını DoS saldırılarına karşı korumak için acil güncelleme yapmalarını gerektiriyor.