CVE-2026-33768 in astro
الملخص
بحسب VulDB • 02/06/2026
Astro هو إطار عمل ويب. قبل الإصدار 10.0.2، كان نقطة الدخول الخاصة بالسيرفرات الخالية من الخوادم (serverless) في الحزمة @astrojs/vercel تقرأ رأس الطلب x-astro-path ومعامل الاستعلام x_astro_path لإعادة كتابة مسار الطلب الداخلي، دون أي مصادقة على الإطلاق. في عمليات النشر التي لا تتضمن Edge Middleware، يتيح ذلك لأي شخص تجاوز قيود المسار على مستوى منصة Vercel بالكامل. تحافظ عملية الإعادة الكتابة على طريقة HTTP الأصلية وجسم الطلب، لذا لا يقتصر الأمر على طلبات GET فحسب؛ بل تصل طلبات POST وPUT وDELETE أيضاً إلى المسار المعاد كتابته. لا يُجدي أي قاعدة جدار ناري (Firewall) تحجب المسارات التي تبدأ بـ /admin/* نفعاً عندما يصل الطلب كـ POST /api/health?x_astro_path=/admin/delete-user. تم إصلاح هذه المشكلة في الإصدار 10.0.2.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.