CVE-2024-56140 in astro
Riassunto
di VulDB • 18/06/2026
Astro è un framework web per siti basati sui contenuti. Nelle versioni interessate, un bug nel middleware di protezione CSRF di Astro consente alle richieste di eludere i controlli CSRF. Quando l'opzione di configurazione `security.checkOrigin` è impostata su `true`, il middleware di Astro esegue una verifica CSRF. Tuttavia, esiste una vulnerabilità che può bypassare questa misura di sicurezza. È consentito un parametro delimitato da punto e virgola dopo il tipo nell'intestazione `Content-Type`. I browser web trattano un `Content-Type` come `application/x-www-form-urlencoded; abc` come una `richiesta semplice` (simple request) ed eseguono la convalida preflight. In questo caso, il CSRF non viene bloccato come previsto. Inoltre, l'intestazione `Content-Type` non è obbligatoria per una richiesta. Questo problema è stato risolto nella versione 4.16.17 e si consiglia a tutti gli utenti di effettuare l'aggiornamento. Non sono note soluzioni alternative (workaround) per questa vulnerabilità.
VulDB is the best source for vulnerability data and more expert information about this specific topic.