Astro — это веб-фреймворк. До версии 10.0.0 обработчик POST Astro Server Islands буферизует и анализирует полное тело запроса как JSON, не применяя ограничения на размер. Поскольку JSON.parse() выделяет объект кучи V8 для каждого элемента во входных данных, созданная полезная нагрузка из множества небольших объектов JSON обеспечивает примерно 15-кратное увеличение памяти (переключение байтов в байты кучи), позволяя одному неаутентифицированному запросу исчерпать кучу процесса и привести к сбою сервера.
Маршрут /_server-islands/[name] регистрируется во всех приложениях Astro SSR независимо от того, использует ли какой-либо компонент server:defer, а тело анализируется до проверки имени острова, поэтому это затрагивает любое приложение Astro SSR с автономным адаптером Node. Эта проблема исправлена в версии 10.0.0.
Показать оригинальное описание (EN)
Astro is a web framework. Prior to version 10.0.0, Astro's Server Islands POST handler buffers and parses the full request body as JSON without enforcing a size limit. Because JSON.parse() allocates a V8 heap object for every element in the input, a crafted payload of many small JSON objects achieves ~15x memory amplification (wire bytes to heap bytes), allowing a single unauthenticated request to exhaust the process heap and crash the server. The /_server-islands/[name] route is registered on all Astro SSR apps regardless of whether any component uses server:defer, and the body is parsed before the island name is validated, so any Astro SSR app with the Node standalone adapter is affected. This issue has been patched in version 10.0.0.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Astro \@Astrojs\/Node
cpe:2.3:a:astro:\@astrojs\/node:*:*:*:*:*:node.js:*:*
|
9.0.0
|
10.0.0
|