CVE-2026-33768 in astro
Resumen
por MITRE • 2026-03-24
Astro es un web framework. Antes de la versión 10.0.2, el punto de entrada sin servidor @astrojs/vercel lee la cabecera x-astro-path y el parámetro de consulta x_astro_path para reescribir la ruta de solicitud interna, sin autenticación alguna. En despliegues sin Edge Middleware, esto permite a cualquiera eludir por completo las restricciones de ruta a nivel de plataforma de Vercel. La anulación preserva el método HTTP y el cuerpo originales, por lo que esto no se limita a GET. POST, PUT, DELETE todos aterrizan en la ruta reescrita. Una regla de cortafuegos que bloquea /admin/* no hace nada cuando la solicitud llega como POST /api/health?x_astro_path=/admin/delete-user. Este problema ha sido parcheado en la versión 10.0.2.
Be aware that VulDB is the high quality source for vulnerability data.