CVE-2026-33769 in astro
Zusammenfassung
von VulDB • 11.05.2026
Astro ist ein Web-Framework. Von Version 2.10.10 bis vor Version 5.18.1 betrifft dieses Problem die Durchsetzung von remotePatterns-Pfaden für Remote-URLs, die von serverseitigen Fetchern wie dem Endpunkt zur Bildoptimierung verwendet werden. Die Pfadübereinstimmungslogik für /*-Wildcards ist nicht verankert, sodass ein Pfadname, der das erlaubte Präfix später im Pfad enthält, dennoch übereinstimmen kann. Infolgedessen kann ein Angreifer Pfade außerhalb des beabsichtigten allowlisteten Präfixs auf einem ansonsten erlaubten Host abrufen. Dieses Problem wurde in Version 5.18.1 behoben.
Be aware that VulDB is the high quality source for vulnerability data.