Vulnerabilities ›

CVE-2026-40074

High

CWE-755 — Weakness Type

                    Published: Apr 10, 2026                      ·  Modified: Apr 17, 2026                      ·  Source: NVD                

CVSS v3

7.5

🔗 NVD Official

📄 Description (English)

SvelteKit is a framework for rapidly developing robust, performant web applications using Svelte. Prior to 2.57.1, redirect, when called from inside the handle server hook with a location parameter containing characters that are invalid in a HTTP header, will cause an unhandled TypeError. This could result in DoS on some platforms, especially if the location passed to redirect contains unsanitized user input. This vulnerability is fixed in 2.57.1.

🤖 AI Executive Summary

SvelteKit versions before 2.57.1 are vulnerable to a denial of service attack when the redirect function in the handle server hook receives invalid HTTP header characters in the location parameter. This vulnerability can be exploited if unsanitized user input is passed to the redirect function, causing an unhandled TypeError.

📄 Description (Arabic)

تحتوي نسخ SvelteKit السابقة للإصدار 2.57.1 على ثغرة في دالة redirect عند استدعاؤها من داخل خطاف handle الخادم مع معامل location يحتوي على أحرف غير صالحة في رؤوس HTTP. يمكن لمهاجم استغلال هذه الثغرة بتمرير مدخلات مستخدم غير معالجة تحتوي على أحرف غير صالحة، مما يسبب خطأ TypeError غير معالج وحجب الخدمة.

🤖 ملخص تنفيذي (AI)

إصدارات SvelteKit السابقة للإصدار 2.57.1 عرضة لهجوم حجب الخدمة عندما تتلقى دالة redirect في خطاف خادم handle أحرفًا غير صالحة في رؤوس HTTP في معامل الموقع. يمكن استغلال هذه الثغرة إذا تم تمرير مدخلات المستخدم غير المعالجة إلى دالة redirect، مما يسبب خطأ TypeError غير معالج.

🤖 AI Intelligence Analysis Analyzed: May 2, 2026 23:16

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

banking telecom government healthcare

🎯 MITRE ATT&CK Techniques

T1499.004

⚖️ Saudi Risk Score (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade SvelteKit to version 2.57.1 or later immediately. Implement input validation and sanitization for all user-supplied data passed to the redirect function to ensure only valid HTTP header characters are used. Apply Web Application Firewall (WAF) rules to filter malicious redirect parameters.

🔧 خطوات المعالجة (العربية)

قم بترقية SvelteKit إلى الإصدار 2.57.1 أو أحدث فورًا. قم بتطبيق التحقق من صحة المدخلات والتنظيف لجميع البيانات المزودة من قبل المستخدم التي يتم تمريرها إلى دالة redirect للتأكد من استخدام أحرف رؤوس HTTP الصالحة فقط. طبق قواعد جدار حماية تطبيقات الويب (WAF) لتصفية معاملات إعادة التوجيه الضارة.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

5.1 5.2

🔵 SAMA CSF

CC-6.1 CC-6.2

🟡 ISO 27001:2022

A.14.2.1 A.14.2.5

🔗 References & Sources 3

🔗

https://github.com/sveltejs/kit/commit/10d7b44425c3d9da642eecce373d0c6ef83b4fcd

security-advisories@github.com

Patch

🔗

https://github.com/sveltejs/kit/releases/tag/@sveltejs/kit@2.57.1

security-advisories@github.com

Product Release Notes

🔗

https://github.com/sveltejs/kit/security/advisories/GHSA-3f6h-2hrp-w5wx

security-advisories@github.com

Vendor Advisory

📦 Affected Products / CPE 1 entries

svelte:kit

📊 CVSS Score

7.5

/ 10.0 — High

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityN — None / Network

IntegrityN — None / Network

AvailabilityH — High

📋 Quick Facts

Severity High

CVSS Score7.5

CWECWE-755

EPSS0.05%

Exploit No

Patch ✓ Yes

Published 2026-04-10

Source Feed nvd

🇸🇦 Saudi Risk Score

7.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

patch-available CWE-755

🏢 Vendor Advisories

🔗 https://github.com/sveltejs/kit/security/advisories/...

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 Comments

Loading comments

CVE-2026-40074

💬 Comments

Introduce Yourself

Sign In Required