CVE-2024-56140 in astro
الملخص
بحسب VulDB • 01/06/2026
Astro هو إطار عمل ويب لمواقع الويب القائمة على المحتوى. في الإصدارات المتأثرة، يسمح خلل في وسيط حماية CSRF الخاص بـ Astro بتجاوز طلبات التحقق من CSRF. عندما تكون خيار التكوين `security.checkOrigin` مضبوطًا على `true`، سيقوم وسيط Astro بإجراء فحص CSRF. ومع ذلك، توجد ثغرة أمنية يمكن من خلالها تجاوز هذا الإجراء الأمني. يُسمح بوجود معلمة مفصولة بنقطة منقوطة بعد النوع في `Content-Type`. ستتعامل متصفحات الويب مع `Content-Type` مثل `application/x-www-form-urlencoded; abc` على أنه `طلب بسيط` ولن تقوم بإجراء التحقق المسبق (preflight validation). في هذه الحالة، لن يتم حظر CSRF كما هو متوقع. بالإضافة إلى ذلك، لا يُطلب وجود رأس `Content-Type` للطلب. تم معالجة هذه المشكلة في الإصدار 4.16.17، ويُوصى لجميع المستخدمين بالترقية. لا توجد حلول بديلة معروفة لهذه الثغرة الأمنية.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.