SvelteSpillというニックネームの深刻なキャッシュ欺瞞の欠陥は、VercelにデプロイされたSvelteKitアプリケーションに影響を与え、攻撃者がセッショントークンなどの機密ユーザーデータを盗むことができます。
2026年1月20日にAikido SecurityのAIペンテストによって発見されたこの問題は、SvelteKit Vercelアダプターの__pathnameクエリパラメーターの処理に由来しています。Vercelは2026年2月19日時点でプラットフォーム全体でこれを修正しました。
SvelteKitはVercelのようなプラットフォームと統合するためにアダプターを利用し、増分静的再生成(ISR)などの機能を有効にします。
AikidoのAIエージェントはテスト中にこのガジェットを特定し、Vercelのサーバーレス静的処理からの初期キャッシュポイズニングの行き止まりにもかかわらず、完全な悪用へとつなげました。
関連するSvelteKitの実験的機能におけるDoS(GHSA-vrhm-gvg7-fpcf)も修正されました。ユーザーはAikidoなどのツールでリポジトリを再スキャンして確認する必要があります。修正はVercel上で自動的に適用されます。
これはフレームワークのキャッシュの落とし穴を浮き彫りにしています。単純なプレフィックスルールは、書き換えと組み合わせるとデータを公開する可能性があります。
ソース: cyberpress.org