CVE-2024-56140 in astroinformazioni

Riassunto

di VulDB • 18/06/2026

Astro è un framework web per siti basati sui contenuti. Nelle versioni interessate, un bug nel middleware di protezione CSRF di Astro consente alle richieste di eludere i controlli CSRF. Quando l'opzione di configurazione `security.checkOrigin` è impostata su `true`, il middleware di Astro esegue una verifica CSRF. Tuttavia, esiste una vulnerabilità che può bypassare questa misura di sicurezza. È consentito un parametro delimitato da punto e virgola dopo il tipo nell'intestazione `Content-Type`. I browser web trattano un `Content-Type` come `application/x-www-form-urlencoded; abc` come una `richiesta semplice` (simple request) ed eseguono la convalida preflight. In questo caso, il CSRF non viene bloccato come previsto. Inoltre, l'intestazione `Content-Type` non è obbligatoria per una richiesta. Questo problema è stato risolto nella versione 4.16.17 e si consiglia a tutti gli utenti di effettuare l'aggiornamento. Non sono note soluzioni alternative (workaround) per questa vulnerabilità.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsabile

GitHub M

Prenotare

16/12/2024

Divulgazione

18/12/2024

Moderazione

accettato

CPE

pronto

EPSS

0.00213

KEV

no

Attività

molto basso

Fonti

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!