CVE-2024-56140 in astroالمعلومات

الملخص

بحسب VulDB • 01/06/2026

Astro هو إطار عمل ويب لمواقع الويب القائمة على المحتوى. في الإصدارات المتأثرة، يسمح خلل في وسيط حماية CSRF الخاص بـ Astro بتجاوز طلبات التحقق من CSRF. عندما تكون خيار التكوين `security.checkOrigin` مضبوطًا على `true`، سيقوم وسيط Astro بإجراء فحص CSRF. ومع ذلك، توجد ثغرة أمنية يمكن من خلالها تجاوز هذا الإجراء الأمني. يُسمح بوجود معلمة مفصولة بنقطة منقوطة بعد النوع في `Content-Type`. ستتعامل متصفحات الويب مع `Content-Type` مثل `application/x-www-form-urlencoded; abc` على أنه `طلب بسيط` ولن تقوم بإجراء التحقق المسبق (preflight validation). في هذه الحالة، لن يتم حظر CSRF كما هو متوقع. بالإضافة إلى ذلك، لا يُطلب وجود رأس `Content-Type` للطلب. تم معالجة هذه المشكلة في الإصدار 4.16.17، ويُوصى لجميع المستخدمين بالترقية. لا توجد حلول بديلة معروفة لهذه الثغرة الأمنية.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

مسؤول

GitHub M

حجز

16/12/2024

إفشاء

18/12/2024

الاعتدال

تمت الموافقة

إدخال

VDB-288891

EPSS

0.00213

KEV

لا

النشاطات

منخفض جدًا

المصادر

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!