Astro — это веб-фреймворк. Начиная с версии 2.10.10 и до версии 5.18.1, эта проблема касается принудительного применения пути Astro RemotePatterns для удаленных URL-адресов, используемых серверными сборщиками, такими как конечная точка оптимизации изображений. Логика сопоставления путей для подстановочных знаков /* не привязана, поэтому имя пути, содержащее разрешенный префикс позже в пути, все равно может совпадать.
В результате злоумышленник может получить пути за пределами предполагаемого префикса белого списка на разрешенном хосте. Эта проблема исправлена в версии 5.18.1.
Показать оригинальное описание (EN)
Astro is a web framework. From version 2.10.10 to before version 5.18.1, this issue concerns Astro's remotePatterns path enforcement for remote URLs used by server-side fetchers such as the image optimization endpoint. The path matching logic for /* wildcards is unanchored, so a pathname that contains the allowed prefix later in the path can still match. As a result, an attacker can fetch paths outside the intended allowlisted prefix on an otherwise allowed host. This issue has been patched in version 5.18.1.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Astro Astro
cpe:2.3:a:astro:astro:*:*:*:*:*:node.js:*:*
|
2.10.10
|
5.18.1
|