CVE-2026-33768 in astroinformación

Resumen

por MITRE • 2026-03-24

Astro es un web framework. Antes de la versión 10.0.2, el punto de entrada sin servidor @astrojs/vercel lee la cabecera x-astro-path y el parámetro de consulta x_astro_path para reescribir la ruta de solicitud interna, sin autenticación alguna. En despliegues sin Edge Middleware, esto permite a cualquiera eludir por completo las restricciones de ruta a nivel de plataforma de Vercel. La anulación preserva el método HTTP y el cuerpo originales, por lo que esto no se limita a GET. POST, PUT, DELETE todos aterrizan en la ruta reescrita. Una regla de cortafuegos que bloquea /admin/* no hace nada cuando la solicitud llega como POST /api/health?x_astro_path=/admin/delete-user. Este problema ha sido parcheado en la versión 10.0.2.

Be aware that VulDB is the high quality source for vulnerability data.

Responsable

GitHub M

Reservar

2026-03-23

Divulgación

2026-03-24

Moderación

aceptado

Artículo

VDB-352843

CPE

listo

EPSS

0.00331

KEV

no

Actividades

muy bajo

Fuentes

Might our Artificial Intelligence support you?

Check our Alexa App!