CVE-2026-33768 in astroinfo

Zusammenfassung

von VulDB • 01.06.2026

Astro ist ein Web-Framework. Vor Version 10.0.2 liest der serverseitige Einstiegspunkt @astrojs/vercel den Header x-astro-path und den Query-Parameter x_astro_path aus, um den internen Anforderungspfad umzuschreiben, ohne jegliche Authentifizierung. Bei Bereitstellungen ohne Edge Middleware ermöglicht dies jedem, die plattformseitigen Pfadbeschränkungen von Vercel vollständig zu umgehen. Die Überschreibung bewahrt die ursprüngliche HTTP-Methode und den Body, sodass dies nicht auf GET beschränkt ist. POST, PUT und DELETE landen alle auf dem umgeschriebenen Pfad. Eine Firewall-Regel, die /admin/* blockiert, hat keine Wirkung, wenn die Anforderung als POST /api/health?x_astro_path=/admin/delete-user eingeht. Dieses Problem wurde in Version 10.0.2 behoben.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Zuständig

GitHub M

Reservieren

23.03.2026

Veröffentlichung

24.03.2026

Moderieren

akzeptiert

Eintrag

VDB-352843

CPE

bereit

EPSS

0.00331

KEV

nein

Aktivitäten

very low

Quellen

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!