| タイトル | Svelte projectのdevalueにおける制限またはスロットリング無しのリソースの割り当てに関する脆弱性 |
|---|---|
| 概要 | Svelte devalueは、JSON.stringifyが十分でない場合に値を文字列にシリアライズするJavaScriptライブラリです。バージョン5.6.3から5.8.1未満の間に、devalue.parseは一部のJavaScriptエンジンの特異な動作により、まばらな配列をデシリアライズする際に必要以上のメモリを割り当ててしまい、過剰なメモリ消費を引き起こす可能性がありました。この問題はバージョン5.8.1で修正されました。 |
| 想定される影響 | ・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 ・当該ソフトウェアが扱う情報について、書き換えは発生しません。 ・当該ソフトウェアが完全に停止する可能性があります。 |
| 対策 | ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年6月9日0:00 |
| 登録日 | 2026年6月12日14:53 |
| 最終更新日 | 2026年6月12日14:53 |
| CVSS3.0 : 重要 | |
| スコア | 7.5 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
| Svelte project |
| devalue 5.6.3 以上 5.8.1 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年06月12日] 掲載 |
2026年6月12日14:53 |
| 概要 | Svelte devalue is a JavaScript library that serializes values into strings when JSON.stringify isn't sufficient for the job. From version 5.6.3 to before version 5.8.1, devalue.parse could, due to quirks in some JavaScript engines, be convinced to allocate much more memory than was needed when deserializing sparse arrays, leading to excessive memory consumption. This issue has been patched in version 5.8.1. |
|---|---|
| 公表日 | 2026年6月10日2:17 |
| 登録日 | 2026年6月10日4:17 |
| 最終更新日 | 2026年6月12日3:52 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:svelte:devalue:*:*:*:*:*:node.js:*:* | 5.6.3 | 5.8.1 | |||