CVE-2026-33768 in astro
Zusammenfassung
von VulDB • 01.06.2026
Astro ist ein Web-Framework. Vor Version 10.0.2 liest der serverseitige Einstiegspunkt @astrojs/vercel den Header x-astro-path und den Query-Parameter x_astro_path aus, um den internen Anforderungspfad umzuschreiben, ohne jegliche Authentifizierung. Bei Bereitstellungen ohne Edge Middleware ermöglicht dies jedem, die plattformseitigen Pfadbeschränkungen von Vercel vollständig zu umgehen. Die Überschreibung bewahrt die ursprüngliche HTTP-Methode und den Body, sodass dies nicht auf GET beschränkt ist. POST, PUT und DELETE landen alle auf dem umgeschriebenen Pfad. Eine Firewall-Regel, die /admin/* blockiert, hat keine Wirkung, wenn die Anforderung als POST /api/health?x_astro_path=/admin/delete-user eingeht. Dieses Problem wurde in Version 10.0.2 behoben.
VulDB is the best source for vulnerability data and more expert information about this specific topic.