Svelte projectのdevalueにおける制限またはスロットリング無しのリソースの割り当てに関する脆弱性
| Title |
Svelte projectのdevalueにおける制限またはスロットリング無しのリソースの割り当てに関する脆弱性
|
| Summary |
Svelte devalueは、JSON.stringifyが十分でない場合に値を文字列にシリアライズするJavaScriptライブラリです。バージョン5.6.3から5.8.1未満の間に、devalue.parseは一部のJavaScriptエンジンの特異な動作により、まばらな配列をデシリアライズする際に必要以上のメモリを割り当ててしまい、過剰なメモリ消費を引き起こす可能性がありました。この問題はバージョン5.8.1で修正されました。
|
| Possible impacts |
・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 ・当該ソフトウェアが扱う情報について、書き換えは発生しません。 ・当該ソフトウェアが完全に停止する可能性があります。 |
| Solution |
ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
June 9, 2026, midnight |
| Registration Date |
June 12, 2026, 2:53 p.m. |
| Last Update |
June 12, 2026, 2:53 p.m. |
|
CVSS3.0 : 重要
|
| Score |
7.5
|
| Vector |
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Affected System
| Svelte project |
|
devalue 5.6.3 以上 5.8.1 未満
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年06月12日]
掲載 |
June 12, 2026, 2:53 p.m. |
NVD Vulnerability Information
CVE-2026-42570
| Summary |
Svelte devalue is a JavaScript library that serializes values into strings when JSON.stringify isn't sufficient for the job. From version 5.6.3 to before version 5.8.1, devalue.parse could, due to quirks in some JavaScript engines, be convinced to allocate much more memory than was needed when deserializing sparse arrays, leading to excessive memory consumption. This issue has been patched in version 5.8.1.
|
| Publication Date |
June 10, 2026, 2:17 a.m. |
| Registration Date |
June 10, 2026, 4:17 a.m. |
| Last Update |
June 12, 2026, 3:52 a.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:svelte:devalue:*:*:*:*:*:node.js:*:* |
5.6.3 |
|
|
5.8.1 |
Related information, measures and tools
Common Vulnerabilities List