CVE-2026-33769 in astro
Résumé
par VulDB • 02/06/2026
Astro est un framework web. À partir de la version 2.10.10 jusqu'à la version 5.18.1 (exclue), ce problème concerne l'application de la contrainte de chemin (path enforcement) pour les remotePatterns d'Astro, relative aux URLs distantes utilisées par les fetchers côté serveur, tels que le point de terminaison d'optimisation d'image. La logique de correspondance des chemins pour les jokers /* n'est pas ancrée, de sorte qu'un pathname contenant le préfixe autorisé plus loin dans le chemin peut toujours correspondre. Par conséquent, un attaquant peut récupérer des chemins situés en dehors du préfixe autorisé initialement sur un hôte par ailleurs autorisé. Ce problème a été corrigé dans la version 5.18.1.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.