Svelte团队发布了针对5个漏洞的补丁，涉及devalue、svelte、@sveltejs/kit和@sveltejs/adapter-node等包，建议用户立即升级到指定安全版本。

以下是经过编辑整理后的中文内容，保留了核心信息并删除了无关内容：

Svelte生态系统受CVE漏洞影响公告

发布时间：2026年1月15日

Svelte团队针对devalue、svelte、@sveltejs/kit和@sveltejs/adapter-node五个组件中的安全漏洞发布了补丁。以下是关键信息：

立即升级

建议用户将以下组件升级至安全版本： - devalue → 5.6.2 - svelte → 5.46.4
- @sveltejs/kit → 2.49.5
- @sveltejs/adapter-node → 5.5.1

注意：svelte和@sveltejs/kit已自动升级其依赖项。

漏洞详情

1. CVE-2026-22775 & CVE-2026-22774

   • 影响组件：devalue
   • 风险：攻击者可通过恶意输入导致内存/CPU耗尽（拒绝服务）
   • 受影响场景：解析用户可控输入且启用了远程函数

2. CVE-2026-22803

   • 影响组件：@sveltejs/kit
   • 风险：二进制反序列化时内存放大攻击
   • 触发条件：启用experimental.remoteFunctions并使用表单

3. CVE-2025-67647

   • 影响组件：@sveltejs/kit和@sveltejs/adapter-node
   • 风险：预渲染路由可能导致拒绝服务或SSRF攻击
   • 高危场景：未配置ORIGIN环境变量且未使用反向代理

4. CVE-2025-15265

   • 影响组件：svelte
   • 风险：通过hydratable功能实现XSS攻击
   • 触发条件：使用未净化的用户输入作为键值

致谢与改进

团队感谢安全研究人员和Vercel安全团队的协作，未来将加强代码审查流程以预防类似问题。发现漏洞请通过GitHub安全标签报告。

（注：删除了原文中的导航菜单、社交媒体链接及重复性说明，保留了漏洞的技术细节和升级指导。）

总结评论内容：

1. 关于SvelteKit漏洞严重性的讨论

• 主要观点：认为这些DoS和XSS漏洞没有React服务器组件的RCE漏洞严重
• 关键引用： "all DoS attacks and one XSS. this isnt as bad as the react server components CVEs" (swyx) "hey react called, they want their vulnerabilities back" (Agreed3750)

2. 对devalue模块安全性的担忧

• 主要观点：认为devalue模块处理用户输入的方式存在安全隐患
• 关键引用： "I skimmed the code and it definitely felt like there was some sketchiness to it, given how it handles user inputs" (appplication) "Probably every HTTP server implementation in every language has similar vulnerabilities" (lukax)

3. 漏洞影响范围的疑问

• 主要观点：询问这些漏洞是否影响静态构建
• 关键引用： "Do these impact static builds?" (Seattle3503)

4. HTTP请求解析的普遍安全问题

• 主要观点：指出安全解析HTTP请求表单的普遍困难
• 关键引用： "It's not that simple to safely parse HTTP request form" (lukax) "5 fixes in 2 years related to HTTP form" (lukax)

5. 对Svelte团队的肯定

• 主要观点：在讨论安全问题的同时对Svelte团队表示赞赏
• 关键引用： "love svelte, the team is really doing a good job focusing on developer ergonomics" (appplication)